Fragen? Antworten! Siehe auch: Alternativlos
Mindestens 32 Clouddienste der Hyperscaler Google, Amazon, Microsoft und Oracle werden von der Bundesregierung genutzt, aber nur in einem Fall mit Ende-zu-Ende-Verschlüsselung. Das teilte die Digitalexpertin der Linken, Anke Domscheit-Berg, am 2. April 2025 unter Berufung auf Antworten der Bundesregierung auf eine Kleine Anfrage der Linken mit.Wenn die wirklich fitte Digitalexperten hätten, würden sie nicht auf diesen Ende-zu-Ende-Scheiß reinfallen. Wenn das eine Ende eine unter der Kontrolle einer feindlichen Regierung steht, ist völlig egal, ob der Weg dahin Ende-zu-Ende-verschlüsselt ist.
Ende-zu-Ende-Verschlüsselung ist kein magischer Pixie Dust, den man über eine schlechte Idee rübersprenkelt, und dann ist sie nicht mehr so schlecht.
Wenn du deine Mail bei Microsoft oder Gmail hast, dann kann die US-Regierung mitlesen, egal wieviel TLS du machst. Da müsstest du schon PGP nehmen, und auch dann sieht die US-Regierung noch, wer wann mit wem geredet hat.
Und wenn du an deinem Ende Microsoft-Software einsetzt, dann kannst du dir das Verschlüsseln eh sparen. Die könnten das ausleiten und du würdest nichts davon merken.
Update: Aber Fefe, das ist unfair, was du hier schreibst, denn die Linken meinen ja mit E2E in dem Fall tatsächlich E2E, wobei beide Enden außerhalb der Cloud sind. Die meinen verschlüsselte Backups in die Cloud, wo ja wirklich die Cloud nichts entschlüsseln kann!
Auf der einen Seite: Ja.
Auf der anderen Seite: Das ist nicht die Definition von E2E im Cloud-Umfeld. Die Definition von E2E-Krypto im Cloud-Umfeld findet hier z.B. hier für AWS. Die wollen dir ein "CloudHSM" verkaufen. HSM heißt eigentlich Hardware Security Module, und die Idee ist, dass der Key nur darin ist und nicht extrahiert werden kann. Das soll dagegen schützen, dass ein Angreifer, der den Host hackt, den Schlüssel klaut. Wenn der Cloudanbieter dich aber verarschen will, UND DAS KANNST DU NICHT ERKENNEN, OB DAS SO IST, dann gibt er dir ein in Software emuliertes HSM oder gar bloß eine API, und du bist auf einen Riesenhaufen Theater reingefallen und hast nichts erreicht. Cloud-Anbieter sind Trickbetrüger.
Ja aber Fefe, das ist doch bloß AWS, wir kaufen doch bei Microsoft!1!! Na dann guckt halt in Microsofts "Dokumentation", was die mit E2E-Sicherheit meinen. Gar nichts. Reines Geschwurbel. Kaufen Sie doch auch Tickets für unsere folgenden Theateraufführungen!
Und in der Industrie, außerhalb von Cloud-Trickbetrügern, versteht man unter E2E im Allgemeinen (lacht nicht!) TLS. Daher mein Rant oben.
Wenn die Linken hier aber das echte E2E meinten, wieso reg ich mich dann so auf? Na weil das halt irreführende Kackscheiße ist. Du kannst diese Art von E2E nur für eine Anwendung fahren: Für die Ablage verschlüsselter Daten im Storage. Das heißt Backups und das heißt File Sharing. Fertig. Für alles andere geht das nicht. Nicht für deine E-Mail, nicht für deine Anwendung, die du gerne in die Cloud schieben wollen würdest, nicht für deine Datenbank. Für nichts.
Im Übrigen rege ich mich immer über sowas auf. Beispiel: Wir benutzen KI nur für Dinge, die KI gut kann! Tolle Formulierung, die alle befriedigt aber nichts heißt. Ich denke mir dann: OK also ihr setzt das gar nicht ein, denn es kann ja nichts gut. KI-Schlangenölverkäufer denken sich dann: OK also ihr setzt das für alles ein, denn "KI" ist ja für alles geil!1!! Das bedeutet nichts!
Andere Ausprägung: "Verantwortungsvoll" wo dran pappen. Responsible disclosure. Responsible encryption. Das ist reiner Trickbetrug, bar jeder inhaltlichen Bedeutung. Und so ist das im Cloud-Umfeld mit "E2E" halt auch. Sagt doch einfach gleich "responsible cloud computing", dann wissen wenigstens alle, dass sie gerade verarscht werden.
Das ist ja schon echt peinlich. Noch peinlicher dann: Oracle versichert, dass es keinen Hack gab. Gibt nichts zu sehen hier, gehen Sie weiter!
Wartet, geht noch weiter!
Als Beweis, dass er die mittlerweile offline genommene Subdomain login.us2.oraclecloud.com kompromittiert hat, führen die Sicherheitsforscher eine URL auf, die zu einer Textdatei mit der Mailadresse des Cyberkriminellen auf dem Oracle-Server führt. Diese Adresse ist noch über die Waybackmachine zugänglich.OH SNAP!
Wartet, geht noch weiter!!
Aus dem Waybackmachine-Eintrag geht den Forschern zufolge außerdem hervor, dass auf dem Server Fusion Middleware 11g mit einem Patchstand Ende September 2014 lief.Sportlich! Das setzt Maßstäbe!
Update: Wenn ihr einen hinreichend großen Social-Media-Krater aufmacht, kriegt ihr den Account vielleicht zurück.
Da gibt es gerade einen schönen Datenpunkt von Larry Ellison, dem Chef von Oracle.
$ORCL CTO Larry Ellison: "I went to dinner with @elonmusk, Jensen Huang..& I would describe the dinner as Oracle & me & Elon begging Jensen for GPUs. Please take our money….No, no, take more of it. You're not taking out enough. We need you to take more of our money, please"Update: Wofür braucht Larry Ellison eigentlich so viel "KI"? Er hat da ... Ideen!
Billionaire Larry Ellison says a vast AI-fueled surveillance system can ensure 'citizens will be on their best behavior'
Der hat das Social Scoring aus China als Vorbild verstanden, das man hier nachbauen sollte! (Danke, Johannes)
Ein Programm hätte künftig verdächtige Finanztransaktionen aufspüren sollen - mithilfe von Künstlicher Intelligenz. Nun wird es offenbar gar nicht erst entwickelt.(Kontext zu Geldwäsche und ihrer Bekämpfung)
Aber wartet. Die Meldung hat noch ein paar wunderbare Warzen!
Wie relevant das Thema für die Bekämpfung der Finanzkriminalität ist, hatte bereits der damalige Bundesfinanzminister Olaf Scholz kurz vor der Bundestagswahl 2021 im Finanzausschuss klargestellt. Bei der Geldwäschebekämpfung werde man ohne ausgereifte "KI-Tools auf Weltniveau" nicht in der Lage sein, die zur Verfügung stehenden Daten angemessen zu bewerten.Jawoll ja! Wenn sich jemand mit der Verhinderung der Verfolgung von Finanzstraftaten auskennt, dann ist es Olaf Scholz!
Dann erklären sie, dass Notare ganz furchtbar viele Verdachtsmeldungen an die Behörden melden, und die Behörden müssen dann mal gucken, welche davon ihrer Kristallkugel zufolge auf kriminelle Handlungen zurückgehen.
Dabei ist ein Abgleich mit Polizeidatenbanken und Einwohnermeldedaten notwendig - ein komplexer Vorgang, bei dem die Experten erwarten, dass er durch ein KI-basiertes Programm weit effizienter zu leisten ist.Oh Graus!! Da mUsS MAn DaTEn zUsaMmeNFüHReN!!1! Scheiße, Bernd, die Technologie muss erst noch erfunden werden!1!! Dafür bräuchte man ... eine Datenbank! Nee, das ist nicht zumutbar. Da rollen wir lieber "KI"-Kokolores aus. Nicht dass da am Ende Scholz-Wahlkampfspender auffliegen!
Mal abgesehen davon, dass man schon mal fragen müsste, wieso hier überhaupt angeblich irgendwas zusammengeführt werden muss, ergibt sich hier eine wunderbare Synergie mit der Oracle-Meldung vorhin :-)
When I think "KI auf Weltniveau", I think Oracle!!1!
Update: Dieser "KI"-Mumpitz ist so nutzlos, dass selbst die Kripo-Gewerkschaft Unmut äußert. Money Quote:
Schon jetzt gebe es dort erhebliche Erkenntnisdefizite.
Mwahaha, was für eine tolle Formulierung! Sollten wir neben operativen Herausforderungen in unserem Vokabular verankern.
Wie ist die Lage heute? Im Bundestag gab es mal wieder erhebliche Erkenntnisdefizite.
Damit sollen Entwickler SQL-Abfragen in natürlicher Sprache formulieren können, die das System automatisch in SQL übersetzt. Die Arbeiten hieran seien schon sehr weit fortgeschritten: Laut Andy Mendelsson, Executive Vice President, Database Server Technologies Development, beträgt die gegenwärtige Richtigkeit bei solchen automatisch generierten SQL-Abfragen 60 bis 70 Prozent.Wenn ihr euch jetzt denkt, mit 70% Korrektheit würde ich ja nicht rumprotzen gehen, dann ... lest weiter!
"Die KI-Experten sagen mir, dass 70 Prozent ein sehr guter Wert ist, der auch bei besseren Trainingsdaten kaum noch gesteigert werden kann", lautet seine EinschätzungHARR HARR HARR
Alter, da willste doch deine Geschäftsprozesse drauf umstellen! Na hören Sie mal, liebes Finanzamt! Die Daten kamen so aus unserer Datenbank-"KI" raus!!1! Das kann doch nicht sein, dass die gar nicht stimmen?!
Ich wundere mich bei Fraunhofer ja immer. Bei mp3 hatte ich den Eindruck, dass die schon Wert auf ihren guten Namen legen, aber praktisch alle anderen Dinge aus deren Richtung fallen nur als unseriös bis selbstzerstörerisch auf.
"Die Blockchain bildet das Betriebssystem für das Metaversum/Web3 und ermöglicht es, Brücken zu bauen, zwischen der realen und der virtuellen Welt", erklärt Prof. Dr. Wolfgang Prinz, stellvertretender Institutsleiter am Fraunhofer-Institut für angewandte Informationstechnik FIT.Die Blockchain ist kein Betriebssystem sondern ein Speicher. Und eines der fundamentalen Probleme der Blockchain ist gerade, dass es eben keine Brücken zur realen Welt hat, was zum sogenannten Oracle Problem führt, der Achillesferse von Smart Contracts.
Mit diesem Statement alleine hat sich dieser Prof so derartig ins Abseits geschossen, dass ich mich wirklich fragen muss, ob es da draußen auch seriöse Fraunhofer-Institute gibt, oder ob die alle nur so schnelle Auf-Hype-Aufspringer sind.
Zukünftige Themen in der Blockchain seien etwa digitale Identitäten oder die Nachweisbarkeit von Lieferketten und damit verbundene unfälschbare Daten über ein Produkt. Blockchain-Projekte würden stärker auf Unternehmensanwendungen ausgerichtet – Papiere, für die eine notarielle Beurkundung zu teuer ist, Zertifikate, Audit-Logs oder sonstige Nachweise.Gerade dafür eignet sich die Blockchain überhaupt nicht, wie ich in meinem Vortrag auch in aller Ruhe ausgeführt habe. Wenn der Prof DAS Memo noch nicht gekriegt hat, dann wundere ich mich, wieso Heise dem überhaupt ein Mikrofon hinhält.
Zum Stromverbrauch sagt er:
Prof. Dr. Wolfgang Prinz gibt zu bedenken: "Die Plattform muss wie ein weltweites Rechenzentrum verstanden werden. Wenn man herunterbricht, welche anderen Transaktionen parallel noch erfolgen, kommt man auf andere Werte. Ein Fortschritt ist durch andere Verfahren zu verzeichnen, die den Stromverbrauch reduzieren."Was für Transaktionen erfolgen denn da noch parallel, Herr Professor? Und wieso kommt man da auf andere Werte? Und auf welche Werte kommt man da? Wat?!
Der Satz am Ende meint wahrscheinlich Proof of Stake. Das hatte ich in meinem Vortrag ja auch erklärt, wieso das schlecht ist.
Prof. Dr. Wolfgang Prinz sagt: "NFTs sind einmalige digitale Fingerabdrücke eines Bildes, die einem Besitzer zugewiesen werden.Nee. Sind es halt nicht. Weder einmalig noch Fingerabdrücke noch einem Besitzer zugewiesen. Wie auch. Die Blockchain kennt keine Menschen. Das ist einem geheimen Schlüssel zugewiesen, und den hat dann jemand.
"Die Diskussion um das Metaversum/Web3, sollte nicht als Spinnerei abgetan werden – es wird kommen, der Zeitpunkt ist jedoch noch offen", sagt Prof. Dr. Wolfgang Prinz. Das Metaversum/Web3 sei nicht die Weiterentwicklung der Blockchain, sondern verknüpfe Technologien wie Blockchain, NFTs, Augmented Reality, Kryptowährung und Netzwerktechnologien miteinander.Das ist nicht nur EIN Hype! Da kann man gleich mehrere Fraunhofer-Institute zu gründen!!1!
Dazu jetzt ein Leserbrief:
reicht ja nicht, dass die Lücke von November 2021 bis vorgestern bei Oracle bekannt war, bis sie gepatcht wurde. Es gibt bis heute auch in kaum einer Distribution eine gepatchte Variante des OpenJDKs.Nehmt Java, haben sie gesagt! Das ist secure by design, haben sie gesagt!OpenJDK Projekt? Listet das geplante 17.0.3 Release Datum als 19.04., das letzte GA Release ist aber immer noch 17.0.2: https://wiki.openjdk.java.net/display/JDKUpdates/JDK+17u
Debian? CentOS? openSUSE? Warten wohl alle noch auf den Upstream Build und verteilen inzwischen weiterhin fleißig 17.0.2.
Adoptium? Hat ein fetzen Banner auf der Homepage, dass man sich hier den Buildzustand anschauen kann: https://github.com/adoptium/adoptium/issues/140
Ein fertiges Release gibts leider noch für keine Version.Die einzige bisher gepatchte OpenJDK Version scheint Arch zu haben: https://archlinux.org/packages/extra/x86_64/jdk17-openjdk/
Vermutlich haben die ihren eigenen Build.
Warum dauert das so lang? Offensichtlich gibts keinen Hotfix Prozess und es fallen Tests um: https://github.com/adoptium/aqa-tests/issues/3594
Da fragt man sich, was passiert eigentlich, wenn in Java ne RCE auftaucht? Warten wir dann auch > 2 Tage darauf, dass der Code Change im Binärpaket landet?
Nicht dass CVE-2022-21449 in irgendeiner Form etwas anderes als kritisch wäre...
Ich möchte an der Stelle darauf hinweisen, dass hier offensichtlich Oracle nicht OpenJDK vorab informiert hat, damit die auch einen Patch fertig haben. Das ist eine Sache, die man häufiger beobachten kann, dass Firmen selbst monatelang auf 0days sitzen, und nicht nur ihre Kunden gefährden, sondern auch absichtlich Open-Source-Komponenten uninformiert lassen, denn wenn du die informierst, dann fixen die das natürlich sofort und nicht erst wie du 6 Monate später. Und dann könnte die Welt ja sehen, was du für eine unzumutbare Patchpolitik fährst, indem du deine Kunden mit scharfen Sprengstoffgürteln durch die Gegend rennen lässt.
Aus meiner Sicht haben wir hier doppelt Oracle zu danken. Und es stellt sich die Frage, wieso die Finder dieser Lücke das überhaupt an Oracle gemeldet haben, und nicht bloß an OpenJDK. Den Oracle-Kram setzt doch eh niemand mehr ein!
Gab es da eine Bug Bounty oder was ist da los?
Update: Können wir an der Stelle bitte auch kurz hervorheben, dass wir von Open Source erwarten, dass es nach zwei Tagen funktionierende Patches für alle Plattformen gibt, während bei Oracle offenbar außer mir niemand ein Problem damit hat, dass die SECHS FUCKING MONATE ihre Kunden mit blutender Wunde unversorgt weiterhumpeln ließen?
Ich frage mich ja, wieso der Bug überhaupt an Oracle gemeldet wurde. Man hätte das an OpenJDK melden können. Oracle hätte dann sagen können: oh, äh, ja, das betrifft uns auch. Der nächste Patchtag ist im Oktober 2023!1!!
Update: Improve ECDSA signature support ist ja auch mal ganz großes Hallentennis als Commit Message.
Ein Leser schlägt vor, dass die Bugfilter ihr Geld damit verdienen, dass Bugs offen bleiben, damit ihre Kunden einen Vorteil davon haben, wenn sie deren Service einkaufen, der sie vor Lücken warnt. Insofern könnte das Vorsatz gewesen sein, nur Oracle zu informieren und nicht OpenJDK.
Update: Zwei Leserbriefe dazu kamen rein, die ich hier erwähnen will. Der erste meinte: Der Bug wurde an OpenJDK gemeldet, nicht an Oracle. Aber die Mannschaft hinter OpenJDK ist halt zum Großteil bei Oracle angestellt, insofern hat das nicht geholfen. Der andere meinte: Der Bug tritt angeblich nur unter Windows auf. Huch, muss ich übersehen haben im Advisory.
Update: Nein, hab ich nicht übersehen. Es gibt mehrere Fußnoten mit der Nummer 1. m(
Stellt sich raus: Der EDCSA-Code im JDK 15 aufwärts wurde von C++ nach Java konvertiert und dabei ist ein relevanter Check hinten runtergefallen. Der Check ist humoristisch wertvoll. Wenn man Java-ECDSA eine Signatur gibt, die nur aus 0-Bytes besteht, dann kommt die durch. Das ist der eine Sonderfall, für den die eine Berechnung Müll liefert, daher ist der Wert als Signatur ungültig.
Den Fall hätte man halt abfangen müssen.
Auf einer Skala von 0 bis 10 hat Oracle das bloß als 7 eingestuft. ECDSA wird u.a. für JWT und Webauthn eingesetzt. Aus meiner Sicht ist das eine 10.0.
Wenn ihr also Java einsetzt, mit einem JDK 15 oder neuer, dann lasst JETZT alles stehen und liegen und spielt den Patch ein. Geht nicht über Los.
Update: Achtet mal auf die Timeline. Im November 2021 hat Oracle den Bug bestätigt und für kritisch befunden. Im APRIL haben sie den Patch veröffentlicht. Oracle hat also von einer apokalyptischen Sicherheitslücke gewusst und ihre Kunden monatelang am langen Arm verhungern lassen.
Update: ECDSA wird auch in Bitcoin verwendet.
Gute Ideen setzen sich halt durch. Das war ja auch bei Windows und Firefox super populär.
Für den Endbenutzer hat KDE damit endlich den letzten Schritt getan. Es ist groß, langsam, überkomplex, unzuverlässig, und jetzt hat es auch noch Werbung. Windows-Kompatibilität erreicht!
Mir persönlich wäre es ja viel lieber, wenn Leute, die dafür bezahlt werden wollen, lieber keine Software entwickeln, als wenn sie Software mit Ausspähen und/oder DRM und/oder Lizenzkack und/oder Werbung schreiben.
Niemand zwingt euch zum Softwareentwickeln. Wenn ihr also gerne Software entwickeln würdet, dann macht das halt für Oracle oder IBM oder so. Macht uns nicht per Assoziation unsere Errungenschaften kaputt.
Wie üblich machte man eine Ausschreibung und gab dann dem billigsten Anbieter den Zuschlag.
Das war in diesem Fall Alibaba, ein chinesischer Anbieter. Aus Gerechtigkeitsgründen haben auch IBM, Oracle, Amazon und Microsoft Aufträge gekriegt.
Ein europäischer oder gar schweizerischer Anbieter wurde nicht berücksichtigt.Ja klar, warum auch.
Immerhin erwähnt der Artikel auch den Cloud Act. Auch wenn man dafür am China-Bashing vorbeiscrollen muss. (Danke, Peter)
Nicht viele haben es neben der katholischen Kirche und den Grünen in die erlauchte Liste der von mir Dinge nachgetragen kriegenden Organisationen geschafft.
Die Deutsche Bank ist auf der Liste.
Denen gönne ich alle möglichen schlimmen Dinge, aber DAS haben selbst DIE nicht verdient:
Deutsche Bank taps Oracle to simplify its IT, cut costsSo viele Jokes auf so wenig Raum! Oracle! Simplify! Cut Costs! Alles in einem Satz!! HAHAHAHAHATja. So long. Was die Bankenkrise und die diversen Hausdurchsuchungen, Ermittlungen und Prozesse und Milliardenstrafen nicht geschafft haben, wird jetzt Oracle beenden.
Stellt sich raus: Von Oracle.
Bonus: Das wurde mit CIA-Geld entwickelt.
Warte mal, sagt ihr jetzt, besonders wenn ihr schon mal mit Oracle-Software gearbeitet habe. Das kommt von Oracle? Und funktioniert?!?
Keine Sorge, dafür gibt es eine einfache Erklärung:
Like the more well-known government analytics software Palantir Gotham, the software owes its rise to “war on terror” surveillance and to backing from the CIA venture capital firm In-Q-Tel. Oracle acquired Endeca in 2011.Oracle hat da bloß ein Startup gekauft.So und was tut diese Wundersoftware jetzt?
At the peak of the NATO protests, police reportedly used Endeca to process 20,000 tweets an hour. According to a 2012 talk given by Richard Tomlinson, who directed Endeca product management for Oracle, the tweets showed up in the software half a second after they were posted and remained there indefinitely, even if deleted.Whoa, das ist ja unglaublich, Bob! Man kauft von Twitter einen Full Feed, und dann schreibt der das in eine Datenbank und man kann dann darin suchen!!1!Heilige Scheiße, Bernd, das ist ja Raketentechnologie!
Ja richtig, Bob! Und wenn Sie jetzt die Nummer neben Ihrer Landesflagge anrufen, können auch Sie eine so großartiges Shellskript kaufen!!1!
They could also sort tweets by sentiment, meaning that the software would single out for scrutiny negative or angry-seeming tweets.Na gut, ein bisschen KI macht das Ding auch. Also doch mehr als Shellskript. Auch ein bisschen Python.Ich stell mir gerade vor, wie die CIA sich die Hände reibt, weil sie die chinesischen Polizeistaatbemühungen auf Jahrzehnte hinaus sabotieren konnten. Ich bin mir sicher: Das erste, was Oracle gemacht hat, ist die Farbpalette auf Oracle-Rot ändern. Und das zweite ist dafür zu sorgen, dass der Scheiß nur mit einer Oracle-Datenbank läuft. Und DAS haben selbst die Kommunisten nicht verdient!!1!
Von Amazon?
Nee, von von Microsoft!
So hat sich Oracle das aber nicht vorgestellt, damals als sie Java gekauft haben. Die dachten, sie haben jetzt den Goldesel gekauft. Alle Welt in der Industrie macht ihre lahmarschige Gammelbloatware mit Java. Was da für Support-Kohle zu machen ist! Und Infrastruktur könnte man anbieten!
Und dann kam raus, dass die Leute gar keinen Support im herkömmlichen Sinne brauchen. Die brauchen bloß regelmäßige Security-Patches. Da kannste ja schlecht Geld für nehmen, wenn es das bei Sun alles kostenlos gab.
Bleibt die Infrastruktur. Stellt sich raus: Den Leuten reicht die Kombination von Lutefisk und Amorphophallus titanum, die der Webserver des Apache-Projektes sekretiert.
Hmm, dachte sich Oracle, dann schrauben wir mal an der Lizenzschraube.
Da haben sich die Leute umgeschaut, und gesehen, dass ein paar Lizenzfanatiker frühzeitig die Open-Source-Version von Sun geforkt hatten, die sie Oracle als Giftpille in den Kaffee getan hatten. Und Oracle, die geldgeilen Kapitalisten, die sie sind, hat natürlich gar nichts in die Java-Entwicklung investiert, sodass ihr Scheiß Schimmel ansetzte und OpenJDK vorbeizog und Fakten schaffte.
Oracle kam dann eines Tages auf die brillante Idee, man könnte doch einfach die Arbeit der GPL-Kommunisten nehmen und dafür "Support" anbieten (LOL!) und dann scheißt der Goldesel doch noch Dukaten. So wurde OpenJDK dann sogar offiziell zur wahren, offiziellen Java-Version.
Aber der Goldesel hatte Verstopfung. Also hat Oracle sich gedacht, wenn sie da Lizenzgeraune machen und Support nur noch kurzzeitig zur Verfügung stellen, wer länger will muss zahlen, dann löst sich die Verstopfung beim Goldesel.
Stattdessen bieten jetzt die ganzen Cloud-Provider Java-Umgebungen mit "Support" (HAHAHA) an. Und Oracle guckt schon wieder in die Röhre.
Aber hey, nicht so schlimm. Solange ihre CIA-Datenbank noch Dukaten scheißt, ist das nicht so schlimm.
Wie, wusstet ihr nicht? Dass der Name Oracle von dem CIA-Projekt kam, für das der Scheiß entwickelt wurde? Hier ist der FOIA-Kram dazu (Achtung: Link geht zur CIA). Steht sogar bei Wikipedia. Dreimal dürft ihr raten, wofür die CIA eine große Datenbank brauchte.
Oracle hat ja Sun gekauft, und damit die Rechte an Java.
Google hat Android gekauft, das war ein kleines Startup, und die haben voll auf Java gesetzt, aber um Oracles Trademarks nicht zu verletzen und keine Lizenzgebühren zahlen zu müssen, haben sie nicht das Sun/Oracle-Java genommen sondern einmal die APIs nachprogrammiert.
Oracle hat dann vor Gericht gemeint, sie besäßen aber "geistiges Eigentum"-Rechte an den APIs und dafür müsse Google Lizenzgebühren zahlen.
Der Supreme Court hat jetzt Google recht gegeben.
Alles andere wäre auch echt furchtbar geworden. Dann könnte auch SCO Linux verklagen, oder Microsoft könnte WINE plätten. Emulatoren wären tot.
Insofern war das auf jeden Fall die richtige Entscheidung.
Allerdings hat das Gericht da (wie üblich) versucht, einer Grundsatzentscheidung aus dem Wege zu gehen, damit sie nicht nochmal einen Klopper wie Citizen United fabrizieren.
Und so haben sie nicht generell entschieden, dass APIs nicht unter Copyright fallen, was meines Erachtens die richtige Ansage gewesen wäre, sondern sie haben bloß entschieden, dass Google hier Fair Use gemacht hat, d.h. eine Ausnahme vom Copyright greift. Damit ist natürlich zukünftigen Verfahren Tür und Tor geöffnet, ab wann ein API-Nachbau nicht mehr unter Fair Use fällt. (Danke, Andreas)
Also... die Datenbank.
Ich war ja erstaunt, dass die überhaupt noch verkauft wird.
Oracle, wir erinnern uns, schreibt in die Nutzungsbedingungen zu ihrer Datenbank rein, dass keine Benchmarkergebnisse veröffentlicht werden dürfen. Mehr muss ich zumindest über ein Produkt oder seinen Hersteller nicht wissen.
Und Amazon hatte 2020 groß gefeiert, dass sie ihre letzte Oracle-Instanz entsorgt haben. Man würde denken, das reicht als Signal, damit auch die anderen Ratten das sinkende Schiff verlassen.
Aber hey, jetzt mit Blockchain und Machine Learning! Das haucht der Software bestimmt neues Leben ein!
Jetzt sind sie vor dem US Supreme Court und Googles Anwalt verkackt das offenbar gerade großflächig. Dabei sind die Richter nicht notwendigerweise völlig unbeleckt. Einer meinte, das sei wie wenn man jemandem ein Copyright für das Tastaturlayout geben würde. Das finde ich eine gute Analogie.
Erinnern wir uns mal gemeinsam an die anderen Firmen und Projekte, die Oracle gekauft hat. Sun. Java. BerkleleyDB. MySQL. Eine Erfolgsgeschichte jagt die nächste! Wenn du etwas wirklich nachhaltig in den Boden rammen willst, dann machst du es Teil von Oracle!
Auf einem ungesicherten, ohne Passwort zugänglichen Server stieß der Experte auf ein Verzeichnis mit Milliarden personenbezogener Datensätze, die für jedermann offen einsehbar waren.Ich stell mir gerade belustigt vor, wie die Oracle-Tochter beim Mutterkonzern anfragt, wie man eine Datenbank richtig aufsetzt. Der Mutterkonzern schickt ihnen dann die Tabelle mit ihren Freudenhauspreisen für Consulting. Da denkt sich die Tochter: Für das Geld können wir 500 Studenten für 10 Jahre einstellen. Oder so.
Laut WHO können durch den Einsatz von künstlicher Intelligenz und Big Data Prognosen über die weitere Verbreitung des Virus' gestellt werden. Und nicht zuletzt sollen dabei sogar Infizierte ermittelt werden können, die noch gar keine Symptome aufweisen.BINGO!!!Die Blockchain-Technologie hat aber nach Ansicht von Experten auch das Zeug dazu, die Pandemie in anderer Hinsicht ausbremsen zu helfen und weitere gesundheitliche Gefährdungen der Bevölkerung in der Zeit des globalen Güterhandels zu verringern.
Wer hängt denn da alles an der Titte des Staates, um die labende Muttermilch der Subventionen abzugreifen?
Darunter sind IT-Konzerne wie IBM, Oracle, Microsoft und das Blockchain-Unternehmen Hacera.m(
Doch das Gegenteil ist der Fall: Die Lizenzmodelle der Software-Heinis werden immer grotesker. Die Datenbank- und VM-Hersteller wollen auch noch pro Core bezahlt werden, und sägen damit an dem Ast, auf dem sie sitzen.
Eigentlich müsste man angesichts dieser Frechheit eine Völkerwanderung zu Open Source beobachten. Tut man auch, aber anders als ihr annehmt. Nicht die Enduser benutzen alle Open Source, sondern die kommerziellen Software-Heinis benutzen alle Open Source. Ja genau. Die, die euch dann pro Core Lizenzkosten aufdrücken wollen. Die benutzen intern selber alle Open Source. Denn wer wäre schon so blöd und zahlt pro Core, amirite?
Ich bin ja eh immer wieder erstaunt, dass es kommerzielle Datenbanken wie SQL Server und Oracle überhaupt noch gibt. Früher konnte man sich da was zurechtlegen von wegen "das skaliert bestimmt besser", aber geht doch mal gucken, was die Cloud-Leute für Datenbanken anbieten. Postgres! Die, die beruflich mit Skalierung zu tun haben, die nehmen Postgres. Die, die Skalierung nur vom Golfplatz kennen, wenn sie anderen CEOs vorlügen, wie fortschrittlich ihre IT ist, die nehmen kommerzielle Datenbanken.
Aber aber aber Fefe, das ist bestimmt eine Supportfrage! Wer ordentlichen Support haben will, der kauft beim Marktführer! Wer das sagt, hat offensichtlich noch nie einen Supportfall bei einem Marktführer in Anspruch genommen. Wie man da behandelt wird, das ist unter aller Kanone. Denn die haben euer Geld ja schon an der Stelle. Wieso sollten die euch mit Respekt behandeln? Ihr seid ja schon im Lock-In gefangen und habt den langjährigen Knebelvertrag unterzeichnet! Und wieder: Die, bei denen die Supportkosten wirklich Einfluss auf die Profitmarge haben, die Cloud-Leute, die nehmen lieber Postgres.
Und die nehmen auch nicht VMware sondern lieber Linux-Container und Kubernetes.
Dein Einsender hat mit seinem Einwurf Unrecht. SAP zertifiziert schon immer AMD Systeme:Ich glaube das bezieht sich auf SAP insgesamt, nicht auf HANA. Der andere Leserbrief sprach explizit von HANA. Mir mailte jemand, ein SAP-Typ habe ihm mitgeteilt, HANA werde nicht für AMD zertifiziert, weil es Intel-Extensions für Transactional Memory nutzt.
http://www.saponwin.com/vendor.asp?fi=&saps=&vi=9&fu=&pf=w&la=
Da sind sogar noch welche aus der Opteron Zeit dabei.
Davon höre ich zum ersten Mal und kann es kaum glauben, denn TSX ist gerade wegen Zombieload im Kernel ausgeschaltet :-D
Gut, Hana-Kunden waren Enterprise-Kernel von vor 20 Jahren mit nachgepatchtem TSX-Support, da wird wahrscheinlich das Ausschalten noch nicht nachgepatcht worden sein.
Bei uns ist der AMD-Haupt-Hinderungsgrund ein anderer: Die Preisgestaltung (in unserem Fall von Dell).Damit sind wir dann aber raus aus dem Terrain der tatsächlichen Hinterungsgründe und im üblichen Sumpf der selbstverschuldeten Unmündigkeit :-)Dell hat Mond-Listenpreise. Die zahlt keiner, der da wiederholt einkauft, egal, ob es um Notebooks, Desktops oder Server oder auch nur eine einzelne Dockingstation geht. Die Rabatte auf den Listenpreis bewegen sich zwischen 15% und 50% und damit ist der Listenpreis nicht mal ein Ansatzpunkt.
Die Rabattstaffeln sind von vielem abhängig, wie groß ist die Bestellung, welches Produkt, welche Ausstattungsvariante etc. Wenn Du Dich aber auf ein Produkt(!) eingeschossen hast, ist es recht verlässlich - dann kannst Du beispielsweise von 25% +-3% ausgehen.
Jetzt kommt einer aus der Fachabteilung und sagt "Ich brauch nen Server mit 24 Kernen". Dann muss die IT das Budget dafür klären. Das machen die nicht auf Basis von Listenpreisen.
Weckst Du unseren Einkäufer um 3 Uhr Nachts und fragst nach dem Preis von 24 Kernen auf der Dell 730 bei 32gb Speicher, sagt er Dir eine Summe (weil er immer die bestellt) und legt auf. Willst Du den Preis für das AMD Produkt, dann muss er erstmal bei Dell anfragen. Die Schwierigkeit ist, das Dell schon mal kein nominal vergleichbares Produkt (735) anbietet.
Weil zwischen der Anfrage des internen Kunden und der Bestellung dann meist einiges an Zeit vergeht, ist unklar, ob das Angebot bis zur Beauftragung stabil bleibt.
Ist also sehr schwierig, für ein unbekanntes Produkt die Anforderung (24 Kerne) in ein solides Budget für das Management zu übersetzen. Deswegen haben wir auch *nur* 730er, keine 740er, erst recht keine 940er in unseren Serverräumen.
Ich habe mal selbst ein AMD Angebot angefragt, hab mir selbst das Budget bei meinem Vorstand gesichert und bin dann zur IT und hab gesagt "das bestellen, Budgetgenehmigung hier" - das war null Problem. Nur, ich hatte halt den ganzen Aufwand damit und den will die IT sich gerne sparen.
Update: Nachtrag:
Soweit ich das nachvollzihen kann, stimmt die Aussage zu den Oracle Datenbanken auch nicht.
Die "kleinen günstigen Editionen" (Standard Edition Two) kannst Du sowieso nur bis 16 Threads (das meint auch SMT) einsetzen.
Das Thema ist auch nicht Epyc spezifisch. Die Umstellung der Lizenz war 2009. Damals waren es übrigens die 4-Kern Xeons die als 2+2 MCM Konfigurationen für Unruhe gesorgt haben.
Sobald Du auf Ebene der Enterprise Edition bist, wird pro Core lizensiert und AMD/Intel gleich behandelt.
Ich kenne fast keinen Kunden von uns, der auf Standard Edition setzt. Entweder Du brauchst Bumms + Analysetools, dann bist Du sowieso bei EE oder eben nicht, dann kannst Du aber in der Regel mit MariaDB/SQLServer/... deutlich günstiger fahren.
ich kann dir erklären, warum bei uns (öffentliche Einrichtung in DE) leider in vielen Bereichen keine Server mit AMD CPUs gekauft werden:Na das war ja klar, dass da Oracle beteiligt sein würde.Oracle Datenbanken:
Die Lizenzierung bevorteilt massiv das Design von Intel, denn bei AMD CPUs wird dir grob gesagt ein Socket pro Chiplet in Rechnung gestellt. Bei mehr als 2 Sockeln gehen die kleineren bezahlbaren Editionen gar nicht.Oder man geht halt zu SAP und macht HANA?
Tja, das wird auch nichts, denn SAP zertifiziert einfach nur Intel Systeme. Obwohl die AMD Systeme wesentlich mehr RAM abkönnen.VMWare
Den ganzen Cluster auf einmal zu ersetzen ist zu teuer, okay verständlich. Na dann halt teilweise? Nein. Live-Migration zwischen AMD und Intel geht nicht und dann müsste man ja mehrere Cluster parallel betreiben und die VMs von einen auf den anderen migrieren und das ist zu viel Aufwand...Und so stehe ich dann mit 8 AMD Systemen da, bei denen es mal passt. Die restlichen 90% sind halt weiter Intel, kosten wesentlich mehr und leisten dafür weniger.
ich hänge seit mehr als 20 Jahren als Externer bei verschiedensten Banken herum. Ich habe sie im wesentlichen alle gesehen. Große, kleine mit eigener IT, mit IT von Dienstleistern und die übliche Mischung. Was Du schreibst ist völlig richtig und dem geneigten Leser sei gesagt, es ist noch viel schlimmer als man es sich von außen vorstellt. Eine Bank betreibt hunderte oder gar tausende von verschiedenen Systemen. Eins erstellt Reports für die Aufsicht über das Eigenkapital, andere für den Jahresabschluss, dann gibt es noch welche die verschieden Risikokennzahlen ermitteln, welche die über die Kredite laufen und Gebühren berechnen, welche die Auswertungen für die Kundenansprache erstellen, andere wiederum die Zahlungen verwalten und weiterleiten, Systeme die in der Wertpapierabwicklung Bestätigungen versenden uswusf. Und das war nur das Backoffice. Im Frontoffice Handelssysteme mit denen man an den verschiedensten Wertpapiermärkten handeln kann, Kassensysteme, ach ja und natürlich Verwaltungssysteme für Geldautomaten, die Geldautomaten selbst (sind ja im Prinzip auch nur Windows PCs), Kassensysteme für die Schalter, Systeme für die Kundenberatung für Immobilienkredite, Unternehmenskredite, Anlageberatung und schlussendlich natürlich die üblichen PCs für die Angestellten mit Office, Mail, einem Browser mit denen sie auf die vorher genannten Systeme zugreifen können.Da müsste man ja eigentlich auch mal ein bisschen Grundlagenforschung machen, wie die Fintechs es schaffen, bei so einer unfassbaren Steilvorlage an fossilen Krusten bei der Konkurrent, NOCH schlechter zu sein.Und alles das ist alt. Alt nicht wie das Smartphone von vor zwei Jahren, sondern alt wie das allererste iPhone verglichen mit aktuellen Smartphones. Da sind Systeme die aus einem C++ Kern bestehen um den man Java herumgebaut hat und das jetzt in eine virtualisierte Hadoop Umgebung „integriert“ wurde. Alle Entscheidungen die zu so einem Müll geführt haben sind individuell sinnvoll gewesen. Man konnte kein Blech bestellen (Vorstand hat ausgegeben nur noch virtuelle Server), Java weil man keine anderen Entwickler kurzfristig bekommen hat, hadoop weil ja jetzt alles in der Cloud (private) laufen muss. Oder anderes Beispiel, Man hat einen Dienstleister schuften lassen mit der Karotte vor der Nase dann den ganzen Konzern umzustellen. Das ist dann gescheitert weil Oracle für die Tochter die das Geschäft übernehmen sollte nicht anerkannt hat das die Enterprise Lizenz der Mutter auch da gilt. Kosten in 7 stelliger Höhe, Business Case im Eimer. Alternative und auch zertifiziert wäre SQLServer 2016 gewesen. Das war dann aber 2018 zu neu gewesen für die Bank und man ist beim alten Dienstleister geblieben, frag nicht was der neue der sehr viel umsonst gemacht hat davon hält.
Oder die Desktops der Mitarbeiter. Thin Clients waren der heiße Scheiß. Schade nur das über Citrix o.ä, Video in Skype for Business und Telefonier nicht ganz einfach ist. Wird also abgeschaltet bis man das im Griff hat, dauert üblicherweise Jahre. Oder Lokale PCs aber Applikationen nur über Citrix gestreamt. Alt-Tab funktioniert nur zufällig. Die Applikationen werden aus einem Portal aufgerufen das natürlich nur sauber in IE11 läuft. Dafür gehen immer mehr externe Seiten mit Windows 7 und IE11 nicht mehr weil die Cypher die der Server anfordert schlicht in Win7 nicht existieren. Windows 10 muss man mit viel Aufwand optisch so umbürsten das es Windows 7 möglichst ähnlich sieht weil man kein Geld für Mitarbeiterschulungen ausgeben will und Angst vor den Supportcalls hat. Open Source Software ist grundsätzlich böse, weil man da ja keinen Herstellersupport bekommt, selbst für Tools in der IT und selbst installieren geht ja nicht, Sicherheit und so. Und wenn dann mal ein Tool wie Putty verfügbar ist (ist halt kostenlos) dann ist es üblicherweise Jahre alt. Aktuelle Sicherheitslücken kurzfristig patchen? Da will ja keiner Owner der Applikation sein…
Und das ganze noch gewürzt mit Dienstleistern/Outsourcern/Hostern deren erstes, wichtigstes und in vielen Fällen einziges hervorstechendes Merkmal war der billigste zu sein.
Ja nicht bei jeder Bank trifft alles das zu und in den letzten Jahren hat sich an einigen Stellen etwas getan. Aber tatsächlich ist man dann dort nicht mehr 10 Jahre zurück, sondern nur noch 5. Bis mitte der 2000 Jahre hatte der durchschnittliche Arbeitnehmer am Arbeitsplatz noch die bessere Ausstattung als zu hause. Heute ist der durchschnittliche Anwender privat bei weitem besser ausgestattet als am Arbeitsplatz. Für die meisten Banken wäre Office 365 sowohl was security als auch safety, wie auch Benutzerfreundlichkeit und Effizienz ein Segen. Ich war auch lange dagegen, habe meine Meinung aber aufgrund der bitteren Realität mittlerweile geändert. Die Banken und Ihre Dienstleister können es schlicht nicht, haben nie begriffen das die IT ihre eigentliche Produktion ist und deshalb das Thema vernachlässigt. Heute besteht die einzige Chance fürs Überleben in der Cloud. Bitter aber wahr.
[...] Banken-IT ist ein liederlicher, alter zum Teil uralter Haufen Scheiße der über Jahrzehnte zusammengeflickt wurde und nur weil sich einige Mitarbeiter den Arsch aufreißen noch halbwegs stabil läuft. Ohne Mitarbeiter die manuell eingreifen, würde eine Bank innerhalb weniger Stunden komplett stillstehen.
Der Vergleich mit Fintechs ist unfair, da die erst vor ein paar Jahren auf der grünen Wiese angefangen haben -> keine Altlasten. Die haben andere Probleme
- At some time in April 2018, the Webmin development build server was exploited and a vulnerability added to the password_change.cgi script. Because the timestamp on the file was set back, it did not show up in any Git diffs. This was included in the Webmin 1.890 release.
- The vulnerable file was reverted to the checked-in version from Github, but sometime in July 2018 the file was modified again by the attacker. However, this time the exploit was added to code that is only executed if changing of expired passwords is enabled. This was included in the Webmin 1.900 release.
- On September 10th 2018, the vulnerable build server was decomissioned and replaced with a newly installed server running CentOS 7. However, the build directory containing the modified file was copied across from backups made on the original server.
- On August 17th 2019, we were informed that a 0-day exploit that made use of the vulnerability had been released. In response, the exploit code was removed and Webmin version 1.930 created and released to all users.
Und ihre Lösung jetzt ist: Wir verlassen uns halt voll auf github. Ja, klar, weil github-Accounts ja auch noch nie gehackt wurden.
So viel Hilflosigkeit auf einem Haufen, da kannst du echt auch gleich zu Oracle oder Cisco greifen.
Auf der einen Seite scheint das noch schlimmer zu sein als man von außen eh vermutet hatte.
Auf der anderen Seite zeigt es, wie wichtig und mächtig ordentliche Tests sind.
Ich weiss ja, dass Du Java nicht so sehr magst (vor allem das verteilte Echtzeit Java ;-), aber Java und auch die LTS Releases sind jetzt auch nicht so gammelig wie Du tust. Aber das ist Ansichtssache und darüber lässt sich vornehmlich streiten. Wo ich Dir allerdings widersprechen möchte, ist Deine Schlußfolgerung: "Die Industrie wird auf Long Term Support setzen". Nein, die Industrie wird sich von Oracle Java abwenden, wenn die jeweilige Firma sich nicht aus anderen Gründen Oracle verschrieben hat (Operating Systems, Middleware, Database, Business Applications, …).Hui!Ich arbeite an der (Oracle) Java Migrationsstrategie für eine große europäische Softwarefirma. Unsere Kunden (Furtune 500 Firmen) wollen besser heute als morgen weg von Oracle Java. Manche CIO's haben das schon in ihre IT Policies gegossen: "Wenn eure Produkte bis Anfang 2019 noch Oracle Java brauchen, schmeissen wir sie aus unseren Datacentern raus". Die andere Kategorie Kunden (vor allem aus dem Finanzsektor) trauen den undurchsichtigen Buildprozessen nicht und bauen ihre eigene JRE/JDK Binaries direkt von den OpenJDK Sourcen. Ich bin nicht sehr zuversichtlich für das Oracle Java Geschäftsmodell.
Und die im Artikel erwähnten Alternativen zu Oracle Java basierend auf OpenJDK, z.B. Azul Systems (kommerzielle und kostenfreie OpenJDK Distributionen) und AdoptOpenJDK (kostenfrei, noch im Aufbau) sollten für die meisten genügen. Es gibt nur wenige Perdefüße: Oracle Java hat ein paar add-ons, die es in OpenJDK nicht gibt (font rendering, browser plugins, WebStart, JavaFX). Aber Für die meisten Serveranwendungen sollten andere OpenJDK Distributionen gute Alternativen sein. Wenn man aber Oracle Java für Enduser UI's braucht, dann sollte man einen dicken Geldbeutel haben, um die Rechnung an Oracle zu bezahlen.
Aber hey, Oracle hat jetzt eine innovative Lösung gefunden. das Java-Supportmodell wird geändert. Erstens sollen die blöden Kunden gefälligst fett zur Kasse gebeten werden für Java-Support, zweitens wird Java selber bald nicht mehr kostenlos in der Produktion eingesetzt werden dürfen, und drittens muss man alle halbe Jahr wechseln — oder man setzt die uralte, gammelige, spinnwebenüberzogene "Long Term Support"-Version ein.
Was jetzt passieren wird, kann sich jeder ausmalen. Die Industrie wird auf Long Term Support setzen. Alles, was die bauen, wird noch krasser als im Moment veralteter Mist sein, der auf noch veralteterem Mist aufsetzt. Dann sieht nicht mehr nur Oracle schlecht aus, sondern auch alle ihre Kunden! MWAHAHAHAHA *haarlose Katze streichel*
Und was steht da jetzt in der Lizenz drin? Nun, seht selbst:
You will not, and will not allow any third party to […] (v) publish or provide any Software benchmark or comparison test results.Das ist das Intel, wie wir es kennen und schätzen! Nie um einen unredlichen Trick verlegen, um die Kunden über den Tisch zu ziehen! All die Benchmarks, die zeigen, wie krass die Performance einbricht, wenn man in Intel-Prozessoren die Abschaltvorrichtung abschaltet, die erzeugen ja Dissonanz mit den Performance-Behauptungen aus der Werbung. Das geht ja mal gar nicht!1!!AMD hat sich bei Spectre auch nicht gerade mit Ruhm bekleckert, aber DAS ist mal echt GANZ weit jenseits der roten Linie.
Einige Datenbankherstelle (*hust* Oracle *hust*) halten das übrigens auch für legitim, in ihren EULAs das Veröffentlichen von Benchmarks zu verbieten. Firmen, die sowas tun, haben meiner Ansicht nach den Untergang verdient.
Update: Intel hat es sich doch noch schnell anders überlegt. War alles bloß ein bedauerliches Missverständnis. Leider ist die neue Lizenz wegen ihrer Kein-Reverse-Engineering-Klausel immer noch non-free. Aber hey, immerhin.
Auf der einen Seite haben sie absolut recht, dass das Serialisierungszeug ein großes Risiko darstellt, aber das betrifft Serialisierung generell, nicht bloß die von Java. Es ist nicht offensichtlich, dass das besser wird, wenn man jetzt ein Framework macht. Es könnte sogar sein, dass Oracle für das Framework Kohle sehen will oder das anderweitig am Markt scheitert, und dann alle Leute von Hand Serialisierung machen und dann wird alles noch schlimmer. Aber gut, Schritt 1: Admit there is a problem.
Wow. Nacht der lebenden Leichen oder was?
Customers leverage Zenedge’s Web Application Firewall (WAF) and Distributed Denial of Service (DDoS) mitigation products to secure their applications, networks, databases and APIs from malicious Internet traffic. Powered by artificial intelligence (AI), Zenedge’s products and 24/7 virtual Security Operations Center (SOC) defend over 800,000 web properties and networks globally.BINGO!!!(Wer die Referenz nicht kannte: Viel Spaß)
ZFS hat ein ähnliches Lizenzproblem. Vielleicht lenkt Oracle da ja auch noch ein?
Dann habe ich ein Leckerli für euch! Larry Ellisons Keynote bei einer Oracle-"Konferenz".
Larry highlighted that his vision is to provide an "Automated Cyber Defense System" with an IT industry's fastest-growing segment, known as the cloud systems management and security market.Fuck yeah! Automated Cyber Defense! Da hilft nur Hubschraubereinsatz!it can't be our people vs their machine. It has to be our computers vs their computers. And, it is a cyber war.Halt mal kurz mein Bier, während ich mein Cybermesser schärfe!Habt ihr noch nicht wirklich verstanden, was der da sagen will? Da kann ich helfen!
Larry also said that "Our vision for security is simple. We need all the data in one place". Oracle's new Security Monitoring and Analytics is based on a purpose-built machine learning technology, the same technology that powers the autonomous database that patches and runs itself.Das, meine Damen und Herren, ist Security bei Oracle! Gebt uns alle eure Daten, dann ist alles sicher!Vor allem ist dann Oracles Geschäftsmodell sicher. (Danke, Zsolt)
The database giant is understood to have hired 20 individuals globally this year, whose sole job is the pursuit of businesses in breach of their Java licences.Und mit "licenses" meinen sie "Java SE". Ja, die Version, die ihr wahrscheinlich alle irgendwann mal runtergeladen habt.
HP war als größter (mehrere Jahre AFAIK einziger) Hardware-Lieferant im Boot, und man munkelte damals was davon, dass HP sich vom US-Militär und/oder der NSA sehr langfristige Supportverträge hat abnehmen lassen und daher den Mist weiterführen musste, obwohl es am Markt klar gescheitert war.
Nun, einer der Hauptgründe, wieso das gescheitert ist, ist weil Oracle nach der Übernahme von Sun spontan keinen Bock hatte, ein Oracle für HP-UX anzubieten, weil die ja plötzlich Konkurrenz im Unix-Markt waren. Und aus Oracles Sicht haben die zu erwartenden Gewinne wohl auch nicht die Kosten für die Portierung und den Support reingeholt. Das kann man natürlich von außen immer schlecht sagen. Klingt für mich persönlich eher vorgeschoben, das Argument, denn der Port war ja fertig, und für Support wird man ja bezahlt. Aber hey, was weiß ich schon.
Nun hat HP damals Oracle verklagt. Stellt sich raus, dass HP mit Oracle einen Vertrag hatte, dass Oracle für viele Jahre die Plattform unterstützen muss, und Oracle hat den gebrochen. Das Gerichtsverfahren darüber ging 2012 für HP aus, und Oracle hat die Plattform dann wieder supported. Allerdings fand HP, dass der Plattform massiver Schaden entstanden sei, und wollte diesen ersetzt haben.
Dieses Verfahren ging jetzt aus, und die Jury hat HP 3 Milliarden Dollar Schadensersatz von Oracle zugesprochen.
Ich wäre überrascht, wenn das das letzte Wort in der Sache wäre. Da wird Oracle sicher lieber alle Rechtsmittel ausschöpfen, bevor sie 3 Milliarden zahlen.
Die frisch vor Gericht geschlagenen Oracle-Anwälte versuchen jetzt, mit Anti-GPL-FUD die Stimmung in der Community zu ihren Gunsten zu drehen.
Und WENN jemand als GPL-Freund bekannt ist, dann ist es ja wohl Oracle! Schon Sun hat lieber ihre eigene Bullshit-Lizenz für jeden Scheiß erfunden, und die Liste der Projekte, die Oracle unter GPL gestellt hat, lassen sich an Null Fingern abzählen. Oh und auch ansonsten …
Was für eine Farce.
Damit ist Oracle gescheitert mit ihrem Versuch, bei Google mit beiden Händen kräftig in den Geldspeicher zu greifen.
Man kann gar nicht überbewerten, wie wichtig diese Entscheidung war. Da hingen Milliarden von Dollars in dem konkreten Verfahren dran, und die ganze Industrie stand auf dem Teppich, den Oracle da wegziehen wollte. Man stelle sich mal vor, was dann plötzlich für alle möglichen Leute Nachforderungen stellen könnten. Du benutzt einen Browser, der Javascript unterstützt? Das API ist von mir! Rück Kohle rüber! Autoren irgendwelcher Bibliotheken hätten sich gegenseitig verklagen können. Das wäre eine Abmahnwelle von biblischen Dimensionen geworden.
Und warum bei Programmiersprachen stoppen? Das betrifft ja auch Protokolle im Internet und anderswo. Plugin-Schnittstellen. Alleine SGI mit OpenGL hätte einmal die ganze Industrie zur Kasse bitten können.
Für etwas, das Google im Wesentlichen verschenkt, ist das kein schlechter Profit.
Nun, dann solltet ihr euch mal diese Webseite hier durchlesen. Und dann könnt ihr euch amüsieren, dass die natürlich auch in den USA gehostet ist und damit unter diese Regelungen fallen würde.
Update: Google steht da nicht. Wer's gemerkt hat, kann sich 10 Medienkompetenzpunkte gutschreiben.
Jedenfalls gab es da Kritik. Wie so häufig, wir hatten ja bei C ähnliche Vorschläge. "Hey, wenn wir dieses API hier besser machen, dann werden wir weniger Bugs haben". Und da kommen dann so Old Farts aus dem Unterholz und sagen "ihr infantilisiert C-Entwickler, die sind nicht so doof wie ihr sie hier darstellt". Aber am Ende des Tages geben die Nummern dem eben Recht, lieber die Umgebung schon so zu machen, dass es leichter ist, alles richtig zu machen.
Ich erwähne das hier alles, weil sich rausstellt, dass djb natürlich mal wieder völlig Recht hatte. Natürlich gibt es Leute, die bei komplizierter Materie das falsch machen. Ich zitiere mal:
We evaluated 8 crypto libraries and their vulnerabilities to invalid curve attacks. We found out that the Bouncy Castle library and the Oracle JCE provider were vulnerable and we could extract private keys from the TLS servers running these libraries. The attacks are quite powerful. For Bouncy Castle, we needed about 3300 real server queries. For Oracle JCE, we needed about 17000 real server queries. We tested with the NIST-256 curve. The high number of requests needed for the Java servers results from a strange behaviour (bug?) in the Java EC computation.Ich könnte jetzt ein paar Worte fallen lassen über Java und die ganzen Java-Apologeten, die mir seit Jahren Mails schreiben, dass mit Java alles besser ist als mit C. Aber ich lehne mich glaube ich lieber zurück und sage: Told you so. :-)Dass wir uns da richtig verstehen: Wer mit Java ECC-Krypto gemacht hat, der muss jetzt neue Keys generieren. Und natürlich gucken, dass er eine gefixte Library irgendwo her kriegt. Aber hey, Oracle fixt ja schn… never mind.
Die Vorwürfe sind, SAP habe "geistiges Eigentum" ihrer Konkurrenten verletzt. Nun ist Hana aber Pionier bei In-Memory-Datenbanken. Das ist jetzt also, als würde Ford Tesla vorwerfen, ihre guten Ideen zu Elektroautos geklaut zu haben. Und diese Vorwürfe sind überhaupt nur relevant, weil SAP und Oracle sich jahrelang bekämpft haben und am Ende SAP zahlen musste. Ohne da die Details zu kennen, würde es mich wundern, wenn ein großer Konzern mit derartig vielen Mitarbeitern bei seinem Kernprodukt anderer Leute Ideen klaut. Im Gegenteil habe ich in großen Konzernen eher erstickende Bürokratie in den Entwicklungsabteilungen erlebt, die das Ziel hat, Entwickler weiträumig von Dingen fernzuhalten, die man später als "der hat da geklaut" interpretieren könnte.
The petition for a writ of certiorari is denied
.Und so endet Googles Versuch, das desaströse Gerichtsurteil zu revidieren, dass Oracle ein Copyright auf die APIs von Java beanspruchen kann. Oracle hatte sich diese Behauptung ausgedacht, um Google für ihr Dalvik zur Kasse zu bitten.
Update: Damit hat Oracle noch nicht gewonnen. Es besteht auch noch die Möglichkeit, dass Google die APIs unter Fair Use nachimplementieren durfte.
Ich habe früh in meinem Leben mit Softwareentwicklung angefangen. Ich erinnere mich noch, wie ich in den 80er Jahren Weihnachtslieder in GW-BASIC programmiert habe, und eine sehr coole Benutzeroberfläche gebaut habe, bei der man mit den Pfeiltasten in einem Menü herumnavigieren konnte. Auf unserem Monochrom-Bildschirm in 80x25 sah das verdammt cool aus. Viel cooler als ein Großteil der anderen Software, die wir so im Einsatz hatten.Damals wie heute nagte der Gedanke in mir, irgendwo könnte das irgendjemand irgendwo besser können als ich. Also nicht im Sinne von: Der hat mehr Zeit investiert und mehr Erfahrung und ist daher effizienter. Nein. Besser im Sinne von: Wenn der sähe, wie ich hier herumkrautern muss, um zu meinen Ergebnissen zu kommen, dann würde der ein lautes Lachen nur mit Mühe unterdrücken können.
Besonders ausgeprägt ist diese Befürchtung immer in Verbindung mit Rock-Star-Firmen und mit Weltkonzernen, deren Software eine markführende Position besetzt. Ich will das mal konkret machen. Wenn ich mich mit Google treffe und über Suchmaschinenprogrammierung rede, dachte ich, dann würden die gar nicht verstehen, wovon ich rede, weil das für die wäre als würden sie sich mit einer Ameise unterhalten. Oder, so die Annahme, mit VMware könnte ich gar nicht über Hypervisor-Programmierung reden, weil die da ja wahrscheinlich auf einem so viel höheren Niveau ein Verständnis aufgebaut haben, dass ein Gespräch mit jemandem wie mir für die keinen Sinn ergeben würde.
Nun hat es sich ergeben, dass ich beruflich Software auf Sicherheitslücken absuche. Ich gehe zu großen Firmen, die zeigen mir ihren Quellcode, und ich zeige ihnen dann, wo sie Dinge falsch machen. Wie viele Menschen in dem Beruf habe ich das Impostor Syndrome, d.h. ich befürchte regelmäßig, dass gleich jemand erkennt, dass ich gar keine Ahnung von der hier gefragten Wissens-Domain habe, und dann entfernt mich die Security aus dem Gebäude.
Einen besonders krassen Fall von Impostor Syndrom hatte ich, als ich das erste Mal bei Microsoft Windows auditiert habe. Die hatten auch keine Ahnung, wie man sowas macht, und wen man da ranlässt, und hatten daher ein vergleichsweise weites Netz geworfen, um potentielle Auditoren zu finden. Ich für meinen Teil hatte so gut wie keine Erfahrung mit Windows. Ich hielt das für einen Irrtum, dass die mich da hin geholt hatten. Und dann geschah das Wunder von Redmond. Ich setze mich hin, gänzlich ohne Domain Knowledge, und fand mehr Bugs als die ganzen Leute mit Domain Knowledge.
Wie sich rausstellt, ist Domain Knowledge überbewertet. Und Microsoft war sich dessen stärker bewusst als ich.
Aber diese Gedankengänge verfolgen mich bei allen Kunden. Was macht Microsofts GUI-Zeug zum Marktführer? Gibt es da irgendwas, was die besonders großartig machen? Wie funktioniert das Memory Management von Windows? Hat der Hypervisor von VMware ESX im Vergleich zu Xen Roswell-Technologie im Einsatz? Was ist eigentlich der Unterschied zwischen Oracle und MySQL? Ist das wirklich so ein immenser Abstand?
Gelegentlich ergibt sich die Gelegenheit, mit einigen wichtigen Leuten mal ein Bierchen trinken zu gehen. Ich nutze sowas konsequent, weil es mein Weltbild enorm erweitert hat über die Jahre.
Einige der gewonnenen Einsichten möchte ich gerne mit euch teilen. Bei allen großen, wichtigen Weltprodukten, bei denen ich eine Einsicht in diesen Aspekt gewinnen konnte, war das anfangs mal ein Hack von drei Leuten. Also wörtlich jetzt. Drei Leute ist die typische Größe, mit der man großartige Produkte bauen kann. Wenn wir nur von einem Aspekt reden, der am Ende die Großartigkeit des Produktes zementiert hat, ist es häufig gar nur einer. Der 32-bit-Support von Windows 95 geht auf einen Typen zurück, der das Manual von Intel auf dem Schreibtisch hatte (das konnte man sich damals für fast lau per Post ordern oder gratis als PDF runterladen), und der die entsprechenden Absätze gelesen hatte, und der sich dachte, hey, das implementiere ich doch mal.
Der schönste Spruch in diese Richtung kam von einem Datenbank-Hersteller. "Wenn wir damals Datenbank-Leute eingestellt hätten, wären die großartig darin gewesen, uns zu sagen, warum soundso nicht geht. Daher haben wir Nicht-Datenbank-Leute eingestellt, und die haben dann einen Weg gefunden."
In meiner Erfahrung ist der größte Motivator in der Softwareentwicklung die Gewissheit, dass etwas substantiell besser geht. Eine schöne Anekdote dazu hörte ich vor einer Weile. Da ging es darum, dass ein Software-Hersteller mit einer Uni zusammenarbeitete, und die hatten eine coole Idee und die auch umgesetzt im Rahmen einer Forschungsarbeit, und die blies alles aus dem Wasser, was es in dem Feld gegeben hatte. Der Hersteller hat daraufhin sein eigenes Team an einen Tisch geholt, wieder mal die fast sprichwörtlichen drei wirklich fitten Leute, und hat denen gesagt: implementiert das mal. Ihr habt das nicht erfunden, daher erwarten wir nicht, dass euer Prototyp diese Uni-Lösung outperformed, aber zumindest bis auf 50% solltet ihr rankommen. Die drei fitten Leute sind losgezogen und haben einen Prototypen gehackt, und hatten offensichtlich eine völlig falsche Vorstellung davon, welche Baseline sie erreichen müssen. Als sie ein paar Wochen/Monate gehackt hatten, und ihren Prototypen zeigten, und jemand den gegen das Uni-Ding auf gleicher Hardware benchmarkte, war der (edit: ihr Prototyp) nicht etwa 50% langsamer (edit: als die Uni-Software) sondern über 50% schneller.
Niemand geht los, um langsame Software zu schreiben. Aber auf dem Weg brechen viele Leute ab, weil ihnen gesagt wird, die Dinge seien "schnell genug".
Neulich scrollte eine lustige Gegenüberstellung an mir vorbei. Da hat sich einer der Väter von Extreme Programming vorgenommen, jetzt mal einen Sudoku-Löser zu programmieren. Der hat mehrere Blogposts dazu gemacht. Er hatte ein festes Dogma, wie man an sowas herangeht, aber offensichtlich keine Vorstellung, wie man diese Art Problem löst. In den Blogeinträgen beschreibt er jeweils, wie er Tests programmiert und ein neues Darstellungsformat ausprobiert. Am Ende scheitert er. Die Gegenüberstellung ist ein relativ bekannter Google-Ingenieur. Der hat auch ein Blogposting geschrieben. "Ich schreibe jetzt mal einen Sudoku-Löser". Dann hat er sich hingesetzt, beschrieben, wie man sowas macht, und einen Löser geschrieben. Ein Blogpost.
Es ist einfach, nach sowas über Extreme Programming zu lachen. Aber ich glaube, dass wir über noch ganz andere Dinge lachen sollten. Ich glaube, dass wir einige sehr fundamentale Dinge in Sachen Softwareentwicklung schlicht noch nicht verstanden haben. Nicht nur das: Die Leute setzen systematisch Scheuklappen auf, um zu verhindern, sich damit auseinandersetzen zu müssen.
Ich habe einmal einen Code Audit einer Webplattform gemacht. Normalerweise drücken sich Auditoren um sowas, weil man befürchten muss, dass sowas in PHP oder — schlimmer noch — Perl geschrieben ist. Das sind klassische Write-Only-Programmiersprachen. Da kann nach einer Woche auch der Typ, der es geschrieben hat, nicht mehr sagen, was dieser Code hier eigentlich tun sollte. In diesem Fall war es Perl. Wir machten drei Kreuze und fingen an. Und jetzt der Schocker: Das war wunderbar lesbarer Perl-Code. Kommentiert. Minimal. Die Firma hatte beschlossen, dass das Verbessern von bestehendem Code genau so wertvoll ist wie das Schreiben neuen Codes. Eher noch wertvoller. Wenn ein Mitarbeiter inzwischen dazugelernt hat, dass man Problem X besser so löst als wie wir das damals gemacht haben, dann geht er hin und löst es so. Unlesbarer Code wurde konsequent nicht gedulded. Fiese Konstrukte wie eval waren verpönt und nur unter strikten Ausnahmeregelungen erlaubt. Dieser Perl-Code war besser auditierbar als der durchschnittliche C++-Code. Lektion: Es liegt nicht an der Programmiersprache. Es liegt daran, dass die Firma der Lesbarkeit von Code einen Wert zuweist.
Der oben erwähnte "war am Ende 50% schneller"-Code hat dem Management so gut gefallen, dass sie gesagt haben: Geil, shippen wir. Das war cooler Rockstar-Code, aber das war kein Produkt. Für eine Firma dieser Größe und Erfahrung war es kein Problem, aus dem Codehaufen ein Produkt zu machen, das technisch den Anforderungen genügte.
Aber wenn ich da jetzt als Auditor hinkomme und sage: Schaut mal hier, das ist eine schlechte Idee, ändert das mal lieber! Dann sagen die mir: Können wir nicht; Eine Änderung hier könnte unvorhergesehene Auswirkungen über das ganze Produkt haben. Das Risiko können wir nicht eingehen.
In fast allen Großkonzernen, in denen ich bisher Einblicke in diesen Aspekt gewinnen konnte, gibt es große Codemassen, deren Wartbarkeit Nahe Null ist. Weil die Firmen es nicht geschafft haben, ihre Mitarbeiter dazu zu motivieren, alten und schlechten Code Schritt für Schritt besser zu machen. Stattdessen gibt es üblicherweise eine Kultur des Drucks, neue Innovationen zu programmieren.
Es ist schockierend, wie wenige Jahre ins Land streichen mussten, bis aus einem innovativen Stück Rockstarcode ein unwartbarer Haufen Legacy geworden ist.
Zusammenfassung: Firmen überbewerten "wir müssen das ans Laufen bringen" und unterbewerten "wir müssen dafür sorgen, dass das auch wartbar ist". Es werden immense Geldmengen dafür verbrannt und Mitarbeiterberge damit verschlissen, ungepflegten alten Code weiter ungepflegt zu halten, aber noch Dinge ranzupflanschen. Ich glaube, wenn wir hier das Anreizsystem umdrehen könnten, könnten wir auf einen Schlag die Softwareentwicklung umkrempeln und Deutschland zum Weltmarktführer machen.
Update: Ich sollte vielleicht noch sagen, dass ich wirklich mit Google über Suchmaschinenprogrammierung geredet habe, und gesehen habe, wie in VMware der Hypervisor funktioniert. Nicht nur habe ich verstanden, wie die das machen, die haben das auch noch so gemacht, wie ich das auch gemacht hätte (bzw. habe; einen Hypervisor habe ich noch nicht programmiert, aber eine Suchmaschine. Stellt sich raus, dass die groben Strukturen, was man so für Datenstrukturen verwendet und so, bei Google und mir die selben waren. Na klar haben die auch noch ein paar Tricks, die ich nicht kannte). Das liegt nicht daran, dass ich ein toller Hecht bin, sondern dass fast alle Lösungen für fast alle Probleme naheliegend sind, wenn man ein bisschen über das Problem nachdenkt. Und dann gibt es jeweils noch Hardware-Einschränkungen, die bestimmen, welche Lösungsansätze überhaupt möglich oder zielführend sind. So viel bleibt da am Ende normalerweise nicht übrig. Ich halte es für ein wichtiges Ziel, dass Anwender den immer noch weit verbreiteten Respekt vor Software abbauen. Wenn man ein Haus hat, und zwei Zimmer, und man möchte gerne in der Mitte die Mauer weghaben und ein großes Zimmer haben, dann prüft man die Statik und dann macht man die Mauer weg. Wenn man anbauen will, baut man halt an. Da ist nichts magisches dran. Bei Software ist das auch so. Wenn Google ein Haus baut, dann brauchen sie dafür auch ein Fundament. Wenn Google ein selbstfahrendes Auto baut, dann hat das auch Räder. Und so sieht das bei Suchalgorithmen halt auch aus.
Update: Siehe auch
U.S. government regulations prohibit double encryption. Accordingly, if you configure Oracle Advanced Security to use SSL encryption and another encryption method concurrently, then the connection fails. You also cannot configure SSL authentication concurrently with non-SSL authentication.Wait, what?! Hoffentlich erzählt das keiner den De-Mail-Leuten, sonst versuchen die hier sowas auch. (Danke, Alexander)
Sorry, aber so läuft das nicht. Richard Stallman hat auch sein Leben der guten Sache gewidmet. Linus Torvalds auch. Was ist mit den OpenBSD-Leuten? Den OpenSSL-Leuten?
Wer sein Produkt kostenlos verteilt, der kann nicht nachher herumheulen, dass sich nicht aus magischen Quellen Geld auf seinem Tisch manifestiert hat. Das muss man vorher durchfinanziert haben, dass man die Entwicklung durchführen kann. Sonst sucht man sich einen Mäzen oder einen Sponsor oder macht Crowdfunding, vielleicht ein Regierungsprojekt. Man kann gucken, ob man eine Gemeinnützigkeit anerkannt kriegt. Ist das mit Aufwand verbunden? Klar! Wer das nicht macht, hat mein Mitleid nicht verdient, sorry.
Ich schreibe auch seit 20 Jahren freie Software. Sieht mich jemand herumheulen, dass ich mir kein Abendbrot leisten kann? Nein. So läuft das nicht.
Werner Koch ist im Übrigen in der ausgesprochen privilegierten Position, dass er sogar mehrfach von der Bundesregierung Förderkohle eingesackt hat. Und dann hat er auch noch ein erfolgreiches Crowdfunding durchgezogen. Was sollen denn bitte die ganzen anderen Leute sagen?! Die, denen die Regierung keine Kohle nachwirft? Die, deren Crowdfunding in der Obskurität verlischt?
Sorry, Werner. Du schläfst in dem Bett, das du dir gebettet hast. Wenn du da jahrzehntelang dein Lebens-Management verkackst, dann stelle dich bitte nicht am Ende hin und winsel herum, dass dir die Welt ein bedingungsloses Grundeinkommen schuldet. Sowas kriegt man nicht durch geduldig Warten.
Ich persönlich bin ein Freund des bedingungslosen Grundeinkommens, unter anderem gerade damit auch Leute wie Werner Koch Software wie gnupg schreiben können, ohne sich Sorgen um ihre Abendbrot machen zu müssen. Aber soweit sind wir noch nicht. Die Realität geht nicht weg, wenn wir sie lange genug leugnen.
Im Übrigen, aber das ist nicht mein Hauptpunkt hier, finde ich die Wartung von gnupg auch keinen Vollzeitjob. Sorry, nein, ist es nicht. Seit wann macht er das jetzt? 20 Jahre? Gelegentlich kommt mal ein Feature dazu, das will ich nicht leugnen. Features, die 90% der gnupg-Benutzer nicht betrifft, sowas wie Smartcards. Aktuell wohl auch elliptische Kurven, das betrifft schon eher jemanden. Aber elliptische Kurven haben die finanziell noch schlechter aufgestellten OpenSSL-Leute ganz ohne murren mal eben nachgerüstet.
Liebe Geeks. Wir haben hier ein strukturelles Problem. Freie Software finanziert sich nicht von selbst. Auf göttliche Intervention warten ist keine Lösung. Sucht euch einen Job, der euch Spaß macht. Am besten nichts, was mit Softwareentwicklung zu tun hat. Sonst habt ihr nämlich abends nach der Arbeit auch keinen Bock mehr auf Softwareentwicklung.
Und dann entwickelt ihr in eurer Freizeit freie Software. Und dann geht ihr in eurem Bett schlafen, unter dem Dach, das ihr euch mit dem anderen Job finanziert habt. So wird ein Schuh draus.
Noch was: Geschenken wirft man keinen Guilt Trip hinterher. Entweder es ist ein Geschenk, dann erwartet man nichts dafür, oder es ist kein Geschenk. Freie Software ist ein Geschenk. Klar darf man sich über Spenden freuen. Aber meckern, wenn sie ausbleiben, darf man nicht.
Update: Oh und einen Punkt möchte ich noch machen. Es wird häufig geheult, dass so viel Open Source Software angeblich in so einem schlechten Zustand ist, angeblich weil die Leute das nicht als Vollzeitjob machen. Das stimmt so nicht. Ich zum Beispiel schreibe Software nicht als Selbstzweck, sondern weil ich was lernen will. Aspekte, bei denen ich nichts lerne, oder die mich nicht interessieren, mache ich dann auch nicht. Die Ausgabe von Fließkommazahlen im printf der dietlibc ist seit Tag 1 kaputt. Dass das nicht gefixt wird, liegt nicht daran, dass ich nen Job habe, der mich ablenkt. Sondern das liegt daran, dass mir andere Sachen wichtiger sind. Das ist eine Frage der Prioritäten, nicht der Ressourcen. Jeder von uns hat genug Freizeit um alles zu schaffen, was er wirklich schaffen will.
Update: Oder aber natürlich man macht das zum Beruf. Gründet eine Firma, die Open Source macht. In einigen Fällen hat das sogar funktioniert. Wenn das gelingt, ist es natürlich der heilige Gral. Aber ich habe zwei Befürchtungen. Erstens ist es nicht mehr das Gleiche, wenn man dafür bezahlt wird. Es macht irgendwann weniger Spaß, wenn es ein Beruf ist und nicht etwas, das man aus freien Stücken tut. Zweitens muss man ja trotzdem irgendwoher Einnahmen generieren. Support für das Produkt ist hier eine populäre Option, aber das kann man nur bringen, wenn das Open-Source-Produkt soweit fertig und stabil ist und eine wichtige Sache löst und breit eingesetzt wird. Das ist eine verschwindende Minderheit der Projekte. Und dann ist die Arbeit, die man tut, auch eher Wartung als Entwicklung. Die Frage also, wie man die Entwicklung von freier Software finanziert kriegt, ist damit weiterhin nicht geklärt.
Als letzte Option bezahlen auch manche große Firmen wie IBM oder Oracle oder Linux-Distributoren ein paar Leute für ihre Arbeit an Open Source-Projekten. Das halte ich für nicht realistisch genug, um das generell als Lebensmodell zu empfehlen. Ein paar Leute können sich das so drehen. Der Rest — fast alle! — nicht.
Update: Es haben sich $50k/Jahr-Sponsoren gefunden. Und genau die Art von Leuten, von denen man Geld annehmen möchte!1!! Na seht ihr, ist doch noch alles gut ausgegangen. Wenn ihr Werner Koch wäret, wäret ihr jetzt zufrieden?
Update: Oh und die Linux Foundation wirft auch nochmal $60k hinterher.
Update: Ich mache mir Sorgen, dass jetzt lauter Kids glauben, das könnte für sie auch funktionieren. Leute, niemand von euch hat den Hauch einer Chance, das als Finanzierungsmodell für das Leben zu replizieren. Das ist wie auf einen Lottogewinn zu hoffen. Holt euch lieber einen richtigen Job und entwickelt nebenher freie Software. Das ist das realistische Modell. Ich finde nach wie vor, dass man Leute, die sich wie Werner ohne Fallschirm aus dem Flugzeug stürzen, nicht auffangen sollte. Sonst validiert man damit das Modell, dass man so seinen Lebensunterhalt verdienen kann. Und dann machen lauter Andere das nach.
Highlights, die sich anzugucken lohnen, sind (völlig subjektiv, versteht sich):
Mit der Fnord-Show war ich dieses Jahr selber nicht so zufrieden. Wir hatten zu viele Folien. Das wussten wir auch vorher, aber wir hatten schon einen gehoben zweistelligen Prozentsatz an potentiellen Folien vorher weggeschmissen. Das werden wir nächstes Jahr anders machen. Dem Publikum hat es anscheinend trotzdem ganz gut gefallen, insofern will ich da jetzt mal nicht zu schlecht gelaunt sein. Aber zufrieden war ich nicht. Bin ich aber so gut wie nie nach meinen Vorträgen, wäre ja auch langweilig.
Den heutigen dritten Tag nutze ich hauptsächlich für Socializen und vielleicht das eine oder andere Interview. Für Erich Möchls Vortrag heute morgen konnte ich mich leider nicht rechtzeitig aus dem Bett quälen. Das will man sicher auf Video gesehen haben, er sprach über NSA-Niederlassungen in Österreich.
Meiner Einschätzung nach sollte man heute um 17:15 den DP5-Vortrag nicht verpassen, aber der leider parallel liegende Vortrag "What Ever Happened to Nuclear Weapons" ist mindestens genau so wichtig. Ich schau mal, wo ich einen guten Sitzplatz finde, und den anderen gucke ich dann auf Video. Um 18:30 würde ich den Thunderstrike-Vortrag gucken.
Um 21:15 gibt es in Saal 2 einen Vortrag über Nordkorea, der wird bestimmt voll :-)
Um 22:00 verspricht der Perl-Vortrag hochkarätig zu werden.
Heute morgen bin ich direkt von einem FAZ-Reporter zu Regin befragt worden, und habe das ein bisschen auf eine generelle Malware-Schiene umzubiegen versucht. Mal gucken, wie das wird. Danach wurde ich direkt von Tilo Jung abgefangen, der hier auf dem Congress herumrennt und Interviews führt. Wir haben uns vorher ein bisschen darüber unterhalten, was wir für ein gutes Interview halten, und ob der Interviewer da Positionen bekleiden sollte oder nur den Interviewpartner reden lassen sollte. Ich finde ja letzteres. Das optimale Interview ist eines, bei dem der Interviewer dem Interviewgast ein paar Stichworte hinlegt und ihm dann nicht dabei im Wege steht, wenn er sich um Kopf und Kragen redet. Tilo war kürzlich in Israel und Paälstina und hat dort mit allen Seiten Interviews geführt, und erzählte, dass er dann erst dafür kritisiert wurde, er würde ja nur die eine Seite zu Wort kommen lassen, und als er dann mit den anderen redete, wurde er dafür kritisiert, denen nicht ins Wort gefallen zu sein, als die da krude Parolen äußerten und sich zum Klops machten. Dieses Muster (jetzt nicht mit Israel und Palästina) habe ich schon häufiger beobachten können und finde es ausgesprochen deprimierend. Ich hatte da vor ein paar Wochen schonmal was zu gebloggt, und so fragte mich dann Tilo auch zu Ken Jebsen. Ich hoffe, ich habe mich da jetzt nicht zu sehr um Kopf und Kragen geredet *hust*. Soviel ist jedenfalls klar: Je weniger Struktur der Interviewer vorgibt, desto mehr Gelegenheiten zum Verplappern hat der Interviewpartner. Vorsicht bei Interviews mit Tilo! :-)
Oregon also accuses Oracle of breach of contract, along with civil racketeering, for “failing to deliver on its obligations, overcharging for poorly trained Oracle personnel to provide incompetent work, hiding from the state the true extent of Oracle’s shoddy performance, continuing to promise what it could not deliver, and willfully refusing to honor its warranty to fix its errors without charge.”Dieses Verhalten würde ich nicht als Alleinstellungsmerkmal von Oracle bezeichnen wollen. Wenn man da noch ein "und dann dem Auftraggeber sagen, wenn er nicht noch mehr gutes Geld hinterherwirft, wird das nie jemand retten können" dranhängt, kommt man bei typischen staatlichen Großprojekten in Deutschland raus. Die werfen Oracle jetzt auch noch Abrechnungsbetrug vor, das ist natürlich eine eigene Liga und würde hoffentlich auch bei uns zu Konsequenzen führen. Aber wirklich sicher bin ich mir da nicht.Oracles Antwort ist übrigens auch bemerkenswert:
Oracle’s suit places the blame for the failure of Cover Oregon on the state itself, with the company claiming that Oregon refused to hire a “systems integrator” to manage Oracle’s work on the website.Oregon sagt jetzt, das sei Oracles tun gewesen, dass es keinen extra Integrator gab. Oracle habe mit dem Argument dagegen lobbiiert, dass das bloß das Projekt verzögern würde.Ich hab da natürlich keine Einsichten in das Projekt, aber die Vorwürfe von Oregon finde ich jetzt nicht offensichtlich unglaubwürdig. Ich bin mal gespannt, was da rauskommt. Hoffentlich kommt es zur Discovery-Phase und die einigen sich nicht schon vorher außergerichtlich.
Money Quote:
"Apple is deeply committed to protecting the privacy of all our customers," the company said in response. "Privacy is built into our products and services from the earliest stages of design. We work tirelessly to deliver the most secure hardware and software in the world."So agil muss eine Firma erstmal sein, dass sie das "earliest stages of design" betitelt, wenn sie im Jahre 2014 STARTTLS einbauen.Oder hey, vielleicht war das ja schon eingebaut und sie haben es nur noch nicht angeschaltet? Gucken wir doch mal, was sie da für einen SMTP-Server benutzen…
220 st11p00mm-smtpin005.mac.com — Server ESMTP (Oracle Communications Messaging Server 7u4-27.08(7.0.4.27.7) 64bit (built Aug 22 2013))Oh… Oracle. Nun, äh, … ich habe da so eine Theorie, wieso sie bis heute gewartet haben, SSL auszurollen. *hust*
Nachdem Oracle Ende März mitteilte, man arbeite noch an Regeln für den Umgang mit Sicherheitslücken in der Cloud und könne keine genaue Zeitspanne für eine Auslieferung von Patches nennen, hatte Gowdiak sich entschieden, die Details der Lücken zu veröffentlichen.Wait, what?! Ich hoffe, bei dem Sicherheitsniveau bezahlt dann Oracle die Kunden für die Betatest-Dienstleistung und nicht umgekehrt. Was für eine Frechheit!
Nun, Oracle hat gerade den kommerziellen Support für Glassfish eingestellt. Das passt ja mal wieder großartig. Sackgassen-Technologie für ein Sackgassen-Projekt. (Danke, Andreas)
It gave that money to a Silicon Valley titan, Oracle, but the result has been a disaster of missed deadlines, a nonworking website and a state forced to process thousands of insurance applications on paper.Das ist genau der Effekt, den ich in der FAZ angeprangert habe, wenn man Aufträge an große Firmen vergibt. Das läuft immer so, da kann man seine Uhr nach stellen. Mal völlig abgesehen davon, dass Oracle natürlich eh nicht satisfaktionsfähig ist in solchen Dingen. (Danke, Ralph)
Maintaining the security-worthiness of Java is Oracle’s priorityMaintaining? Wie wäre es mal mit Improving?
Und im Übrigen führen wir jetzt Code Signing ein. Ihr wisst schon, das was schon bei Microsoft nicht funktioniert hat. Das machen wir jetzt, nachdem die Kryptokalypse jedes Restvertrauen in CAs weggefegt hat. Post Diginotar. Money Quote:
Rizvi noted that the signing requirement will improve the security of Java users in a number of ways. For one, it will create some sense of accountability with Java code developers.Öh, … sense of accountability? BWAHAHAHAHA! Wartet, wird noch besser!"Malicious attackers will be required to purchase a code-signing certificate," he said. "Note that before issuing a code-signing certificate, certificate authorities generally perform certain checks to ensure the identity of the person applying for the certificates."Oho, aha, soso. Im Allgemeinen würde man denken, dass CAs Dinge prüfen, sagt er. Na dann ist ja alles gut. Immerhin ist Oracle da mehr als zurückhaltend und lässt nicht einfach jeden signen. Nur die CAs, die bei Java als vertrauenswürdig mitgeliefert sind. (Also in der Praxis… alle)Und haben sie auch Revocation Checking? Klar! *hust* Wenn der User es manuell angeschaltet hat!1!! Aber das wird dann im Juni Default. Warum erst im Juni? Äh, guck mal da hinten, ein dreiköpfiger Affe!
Aber das Hammer-Zitat überhaupt ist das hier:
"At Oracle, 'every developer is a security rifleman' and additional security expertise is also found with security-focused developers, architects and managers for the purpose of enforcing security policies and dealing with security-sensitive components," Rizvi said.Soso, "security riflemen". Na dann. m( (Danke, Aaron)
Und dann kommt Per Bothner von Oracle und postet diese Mail hier. Per Bothner, Per Bothner, hat vielleicht schonmal jemand gehört, den Namen. Weil der Name beim Lesen der Header oder des Codes für die libg++ von GNU über den Schirm scrollt. Ein Urgestein von GNU, hat u.a. auch für Cygnus gcj gebaut. Das war damals der Versuch, gcc Java kompilieren zu lassen. Konnte leider nie aufschließen. Der arbeitet jetzt bei Oracle.
Aber der Brüller ist, dass der jetzt im Namen von Oracle dagegen argumentiert, V8 aus Webkit rauszuschmeißen, weil Oracle ja die Abstraktionen auch benutzt, um ihre eigene Javascript-Implementation (Oracle hat eine Javascript-Implementation!) namens Nashorn (benannt nach einer bedrohten Tierart) in Webkit reinzubrechstangen. Mehr Popcorn!
Ich persönlich freue mich auch, dass Apple nicht über eine Lücke in ihre eigenen Mist angegriffen wurde, sondern über eine Java-Lücke. So können sich jetzt Apple und Oracle im Kreis bezichtigen. Da kann es nur Gewinner geben!
Dieser Angriff hat noch andere Player betroffen, nicht nur Apple.
Oh und falls sich jemand wunderte: Für das Java-Problem gab es schon einen Patch. Aber halt nicht von Apple. Das hätte man wohl manuell installieren sollen. Und jetzt shippt auch Apple einen Patch, aber der spielt nicht das Update ein sondern macht Java im Browser aus. Das ist zwar generell empfehlenswert, aber … WTF? Wenn man einen Patch-Distributions-Mechanismus hat und es einen Patch gibt, dann verteilt man damit doch den Patch und keinen Aus-Knopf?!
Der Rest beschreibt ein "Double Irish Dutch Sandwich", und das funktioniert so:
Dann macht Googles Irland-Tochter eine Tantiemen-Zahlung an eine andere Google-Tochter in Holland, die an eine zweite Google-Tochter-Holding in Irland zurücküberwiesen wird.
Ich persönlich finde es ja unfair, dass die sich so auf Google kaprizieren. Google ist ja nur eine Firma, die das so macht, und nicht mal die erste. Apple, Facebook, Microsoft, Oracle und Adobe haben auch sowas und Apple waren wohl die ersten. Und wer sich die Dokumentation "The Corporation" angeschaut hat, der wird verstehen, dass die Aktiengesellschaften das machen müssen, sobald sie davon hören, dass sowas geht. Es gab da mal den Präzedenzfall von Henry Ford, der seinen Arbeitern faire Löhne zahlen wollte, und der wurde dann gerichtlich gezwungen, dass er seine Firma auf Profitmaximierung ausrichtet und nicht auf das Gemeinwohl.
Update: Frankreich hat auch angesagt, dass sie das nicht länger dulden wollen. Im Grunde gibt es ja auch keinen Grund dafür, wieso irgendein Land solche Schweinereien dulden sollte. Gestern kam so eine Zahl an mir vorbei, dass das Verhältnis zwischen per Steuerhinterziehung verloren gegangener Kohle und zwischen Sozialbetrug verloren gegangener Kohle 1400 zu 1 ist. Aber Sozialbetrug ist in aller Munde, während keiner über Steuerbetrug redet. Und das hier fällt ja noch nicht mal unter Steuerbetrug, das ist ja auch noch völlig legal!
Aber das ist noch nicht der Hammer an der Meldung. Der Hammer ist, dass Google innerhalb von 10 Stunden (!) eine gefixte Version von Chrome in ihrem Autoupdater verfügbar hatte.
Zum Vergleich: Oracle sitzt schon mal Jahre auf Sicherheitslücken, Apple, Microsoft und Adobe Monate. Da kann sich der Rest der Industrie mal eine Scheibe von abschneiden.
Ich halte das für eine richtige Entscheidung und habe mich schon länger gefragt, wie die Softwarebranche einfach so tun kann, als gälten die Handelsregeln für sie nicht.
Nun, äh, was soll ich sagen… kein großer Verlust :-)
Update: War ne Heise-Ente, die GPL-Version von MySQL wird weiterhin InnoDB haben.
Wobei, wenn das für Oracle genau so endet wie für SCO, dann will ich nichts gesagt haben. Das wäre mal ein wünschenswerter Ausgang.
Wenn das der Führer Schily wüsste!! (Danke, Timo)
Sun didn't file many patents initially. But then we got sued by IBM for violating the "RISC patent" - a patent that essentially said "if you make something simpler, it'll go faster". Seemed like a blindingly obvious notion that shouldn't have been patentable, but we got sued, and lost.Das hätte Sun fast getötet. Also hat Sun sich hingesetzt und jeden Bullshit patentiert, der ihnen vor die Flinte kam. Denn so funktioniert das System. Jeder sammelt so viele Trivialpatente, wie er finden kann, damit er sich wehren kann, wenn IBM vorbeikommt. IBM ist der größte Patenttroll auf dem Planeten. Die haben das von einer Kunstform zu einem Geschäftsmodell entwickelt. Die ganzen modernen Patenttrolle sind bloß müde Abklatsche dessen, was IBM tut. Hier ist ein schöner Forbes-Artikel zu IBM und Sun und Patenten.Sun lief nicht nur los und patentierte Dinge, sie machten einen inoffiziellen Wettbewerb, wer mit dem beklopptesten Patentantrag durchkommt. Das ist die Quelle der Sun-Softwarepatente, die Oracle jetzt als Basis für ihre Schutzgeldforderungen gegen Google benutzt.
Und auf einen Satz will ich mal hinweisen, weil er in letzter Zeit immer häufiger auftritt, in verschiedenen Kontexten:
It's a sad comment on the morality of large modern software companies that Microsoft, while I don't think they've gotten any better since Sun sued them, probably has the high ground.Microsoft war jahrzehntelang das Evil Empire, das es zu bekämpfen galt. Microsoft hat übrigens eine ähnliche Geschichte mit Softwarepatenten wie Sun. Ich weiß nicht, ob die auch mal von IBM ausgenommen wurden, aber Microsoft hat jahrelang keine Patente angemeldet, absichtlich, weil das eine Ingenieursfirma war, und die Ingenieure alle die Idee Scheiße fanden. Und dann sind einmal alle Patenttrolle der Weltgeschichte über sie hergefallen, weil sie auf soviel Bargeldreserven saßen. Und seit dem meldet auch Microsoft Patente an. Nur verklagt Microsoft mit ihren Trivialpatenten niemanden, im Gegensatz zu Apple. Soweit sind wir gekommen in dieser Industrie, dass ausgerechnet Microsoft mit gutem Beispiel vorangeht.Update: Stimmt so nicht, Microsoft verklagt doch auch andere mit ihren Trivialpatenten.
During the integration meetings between Sun and Oracle where we were being grilled about the patent situation between Sun and Google, we could see the Oracle lawyer's eyes sparkle. Filing patent suits was never in Sun's genetic code.Bei der Gelegenheit kommt dann auch raus, dass die häufig gescholtenen Microsoft-Lizenzbedingungen für C# weniger restriktiv sind als die von Sun für Java. Was für ein Lacher, wenn man sich überlegt, wie die Java-Fanbois immer mit Offenheit und Freiheit argumentieren. Auf der anderen Seite ist dieser Beitrag von Miguel de Icaza, dem Typen hinter Mono (dem Open Source C#).
Oracle reiht sich damit in die Ganovengalerie der Patenttrolle ein, die andere Firmen kaufen, um dann mit deren Patenten vor Gericht andere zu erpressen.
Wenn man sich überlegt, wie viele andere Erfolgsgeschichten von Java einem einfallen, die begründen, wieso Java überhaupt noch Erwähnung findet heute, … nicht dass Dalvik jetzt ein großartiger Erfolg wäre, aber immerhin.
Ich finde sowas ja immer super, weil es schön die ganze Rhetorik von wegen Kompatibilität und plattformübergreifend und "write once" zersägt. (Danke, Nikolai)
Was für ein Glück, dass wir gerade eine Wirtschaftskrise haben, bei denen die Exporte eh weggebrochen sind!
Ein Insider erzählte mir, dass die seit Tagen abwechselnd "geht nicht mehr" und "geht doch wieder ein bisschen" und "probieren Sie mal jetzt" Mails rausschicken :-)
Aber ist alles nur halb so schlimm, den es gibt da (I kid you not!) ein Hörbuch auf der Webseite. Das erklärt euch, wie toll dieses ATLAS ist.
Die Lage ist so schlimm, dass sich die Zoll-Bürokraten zu dieser humoristisch hochwertigen Dienstanweisung genötigt sahen:
Der Stempeleindruck gemäß Kapitel 8.2.6.1.3 Abs. 3 Verfahrensanweisung ATLAS "ECS/AES Notfallverfahren" ist im Einheitspapier Ausfuhr/Sicherheit im leeren Feld zwischen den Feldern B und 54 anzubringen (an der bisherigen Stelle des Feldes C im Vordruck 0733).Bwahahahaha
Update: zu AEB linke ich nicht, weil die am Projekt-Kaputtgehen schuld sind, sondern weil die so eine schöne Webseite zu den Notfallmaßnahmen haben. Ich weiß gar nicht, wer diese SAP-Bude ist, die mein Insider meinte.
Update: Jemand anderes erzählt mir gerade, dass das beim Zoll von Dr. Materna kommt und auf Oracle basiert. Keine Ahnung, was da stimmt, aber wenn SAP, Oracle und Dr. Materna im Raum stehen, kann es nur Verlierer geben :-)
Im Übrigen ist das Zollsystem auch unabhängig von der aktuellen Umsetzung interessant, weil die ja persönliche Daten von allen Zollanmeldern über Jahre speichern, auch Privatmenschen.
Update: Ein Dritter mailt mir gerade den Namen "BTC AG, Oldenburg". Nie gehört. Ich werde da mal eine Recherche anstoßen. Das scheint ja doch eine größere Angelegenheit zu sein.
The number of foreign visitors to the United States has plummeted since the September 11, 2001 attacks on New York and Washington because foreigners don't feel welcome, tourism professionals said Thursday. […] "Travelers around the world feel the US entry experience is among the world's worst," Freeman said, calling on the US government to work with the private sector to make visa acquisition more efficient, the entry process traveler-friendly, and to improve communication.
Das ist wirklich witzig, denn ich bin gerade dabei, mir ein US-Visum zu holen. Das letzte Mal bin ich da hin gegangen (zum Konsulat), habe ein paar Formulare ausgefüllt, ein paar Dollar gezahlt, habe in einem Automaten im Gebäude ein passendes Passfoto gemacht, und sie haben mir das Visum direkt vor Ort ausgedruckt und in den Reisepass geklebt.Dieses Mal muss ich durch eine degradierende Webseite, wo man erst mal 10 Dollar per Kreditkarte zahlen muss, dafür dass sie einem einen Termin im Konsulat geben (alternativ kann man eine 0900-Nummer anrufen, die einen auch kräftig zur Kasse bittet, um einen Termin zu kriegen). Auf dem Webserver muss man dann diverse Formulare ausfüllen, unterwegs wirft die Webseite noch einen Java-Stacktrace wegen Oracle-Fehlern im Backend, und bei mir hat er noch die Kreditkarte nicht annehmen wollen. Zu guter Letzt generiert die Webseite dann ein PDF, das man ausdrucken soll, und wo er die eingegebenen Daten falsch einträgt.
Dann muss man zu einer kleine Allianz-Tochter (mit der besonders vertrauenswürdigen Geschäftsform OHG) gehen und denen 80 Euro überweisen (Kreditkarte? Kontoeinzug? Geht nicht!), die emailen einem dann ein Stück Papier, das man ausdruckt und dem Konsulat mitbringt. Vor Ort zahlen geht offenbar nicht mehr, auch nicht in bar. Wieso sie, wenn sie auf ihrer Webseite schon für die 10 Dollar Kreditkarten nehmen, nicht auch die 80 Dollar über die Kreditkarte nehmen, bleibt unklar. Mit dem Allianz-Dingens gibt es dann noch Probleme, weil deren Bank erst mal drei Tage auf dem Geld sass, und weil der Mailserver der die Bestätigungsmail abgebenden Domain keine SMTP-Verbindungen annahm (dann nimmt mein Mailserver die Mails nicht an). Kurz gesagt: ein einziges Desaster.
Viel deutlicher als mit diesem Generve können einem die Amis im Grunde nicht sagen, dass sie einen nicht zu Besuch haben wollen. Ihr könnt euch also vor stellen, wie überraschend ich das jetzt finde, dass denen die Besucher wegbleiben. Oh und von der Passagierdatenweitergabe will ich mal gar nicht anfangen. Im Übrigen hatte ich auch mal Gelegenheit, die Gastfreundschaft der US-Immigrationsbehörden am Flughafen zu erleben, als die mich über eine Stunde befragt haben und dann mit einem Gummihandschuh durch die Unterwäsche in meinem Gepäck gingen.
Der Lacher ist: zum Camp hatte ich ein paar Freunde aus Amerika zu besuch, und die meinten: die Einreise in der EU sei weniger Stress gewesen als die Ausreise aus den USA. Way to go, Chertoff.
an IT engineer with American Electric Power, said the stock spam came from a bot-infected computer belonging to a contractor at one of its power generator plants.
Die Bitte der Software-Firma, nochmals eine Frist von vier Wochen zur Behebung der Mängel zu gewähren, lehnte Kindler ab. "Wir befürchten, dass wieder neue Fehler auftreten." Zuletzt hatte das Innenministerium dem Anbieter eine Frist bis Mitte Januar gegeben. Bei einer anschließenden Testphase von vier Wochen mit elf Testteams wurden immer noch 14 schwere Programmfehler festgestellt. Außerdem konnte die Software nur von rund 200 Nutzern gleichzeitig angewendet werden. Im Vertrag stehe aber, dass mindestens 800 Nutzer gleichzeitig mit dem Programm arbeiten können müssen, sagte Kindler. "Jenseits von 300 Nutzern war der Einsatz aber schon nicht mehr möglich." Der Vorstandschef der Software-Firma habe die Fehlersituation bei einem Gespräch vergangene Woche "nicht bestritten".Und jetzt, der Lacher für Insider:
Auf Serverseite kommt ein System unter HP-UX mit Oracle-Datenbank zum Einsatz.
"Der Schutz der Betriebsgeheimnisse der Firma Nedap" müsse "auch insbesondere deshalb vorgehen, weil die Geheimhaltung der Betriebsgeheimnisse zusammen mit anderen Faktoren zur Sicherheit des Wahlgerätes und damit der Wahl beiträgt".Ach SO ist das, die Geräte sind sicher, weil keiner weiß, wie man sie aufmacht, ja? Das genügt ja den selben hohen Sicherheitsanforderungen wie SAP, Oracle und Windows!