Fragen? Antworten! Siehe auch: Alternativlos
Damit haben sie dann in Snapchat, Youtube und Amazon-Webaufrufe reingeguckt, um ihre Konkurrenz zu analysieren.
Der eine oder andere von euch wird sich vielleicht gedacht haben: Aber ist nicht genau dafür Certificate Pinning gedacht, um sowas zu verhindern? Google hat doch sogar Werbung damit gemacht, dass sie böse Zertifikate erkennen, wenn Chrome zu Youtube oder einem anderen Google-Dienst verbinden will und ein Nicht-Google-Zertifikat sieht.
Was ist da also los?
Nun, nichts genaues weiß man nicht, aber eine Sache kann ich bei der Gelegenheit mal kurz erläutern: Cert Pinning schaltet sich ab, wenn man ein Root-Cert im Local Store hat, und dann das auf Pinning zu prüfende Zertifikat von dieser Root-CA signiert reinkommt.
Warum ist das so? Wegen Compliance-Bullshit. Ich wettere hier ja seit Jahrzehnten gegen Compliance-Bullshit, und dies ist ein schönes Beispiel dafür, wie Compliance-Bullshit Dinge für alle Menschen schlechter macht.
Für Banken und Versicherungen und Aktienbroker gibt es regulatorische Vorschriften, dass die ihren Traffic mitprotokollieren müssen, damit man danach Insider Trading nachweisen kann.
Kann man natürlich nicht. Also könnte man schon, macht man aber nicht. Wie auch alles andere Security-Theater hören die Aktivitäten bei "wir sammeln alle Daten ein" auf. Niemand guckt je in diese Daten rein.
Aber der Effekt ist, dass Banken ihren Mitarbeitern dann halt ein Root-Cert auf dem Gerät installieren. Und wenn Chrome dann immer meckern würde, dann müsste Google sich mit wütenden Kunden auseinandersetzen. Also schaltet man lieber Cert-Pinning ab.
Chrome macht das so. Firefox macht das auch so. Daher: Wenn euch jemand im lokalen Cert Store irgendwelche Root-Certs installiert, dann solltet ihr das immer ablehnen. Hier ist die Mozilla-Dokumentation zu dem Verhalten. Ctrl-F insert
Das lohnt sich bei Text (könnt ihr im Browser in den Developer Tools sehen, da steht aktuell sowas wie 6,56KB übertragen, Größe war 12,46KB). Bilder und Videos sind schon komprimiert, da ist das Zeitverschwendung.
Wenn ihr also mein Blog aus der Bahn oder im Handy ladet, dann halbiert Kompression eure Wartezeit. Umso bedauerlicher, dass sich da in den Browsern seit Jahren nicht mehr viel getan hat.
Vor einer Weile hat Chrome Brotli-Support in Chrome eingebaut. Brotli komprimiert geringfügig besser als gzip, aber nicht überzeugend viel besser und es ist auch deutlich langsamer dabei.
Kompression hilft übrigens auch gut bei Font-Dateien, die man per Web einbindet.
Ich erzähle das, weil es ein relativ neues Kompressionsverfahren gibt, zstandard. Ich habe das hier im Blog 2016 zum ersten Mal erwähnt. zstd deckt das ganze Spektrum ab (von "schnell aber nicht so effektiv" bis "langsam und hocheffektiv"). Es hat aber zwei wichtige Vorteile gegenüber Brotli:
"Schnell und dafür nicht so effektiv" ist so schnell, dass man es viel leichter verargumentiert kriegt, das in Protokolle einzubauen. Mein Blog hat im Moment keine Brotli-Kompression, aber wenn die Browser zstd könnten, würde ich sofort zstd-Kompression einbauen. Da kriege ich für den gleichen Aufwand, den ich im Moment bei gzip schon abgenickt habe, deutlich bessere Kompression, bzw. kriege die Kompression, die ich im Moment von gzip kriege, für deutlich weniger CPU-Last im Blog. Das ist also quasi ein No-Brainer, dass man das im Browser will.
Nun, ... hier ist der Firefox-Bug. Der ist von "8 years ago". Immer noch offen. Denn bei Firefox gibt es keine Innovation mehr. Die bauen Dinge erst ein, wenn Chrome sie einbaut. Wenn Chrome etwas ausbaut, baut Firefox es auch aus, wie zuletzt bei jpeg-xl passiert, völlig hanebüchen.
Jetzt wo Chrome zstd hat, wird das hoffentlich auch bald Firefox kriegen, und dann haben wir alle gewonnen.
Update: Heutzutage macht man Webfonts als woff oder woff2 und das ist dann im Wesentlichen ein ttf mit brotli. Es ist immer schlauer, Dateien vorzukomprimiert abzulegen, als sie beim Rausgehen im Webserver zu komprimieren.
New hotness: Honest Don's Used Cars and Certificates! (Danke, Johannes)
Diese Liste war schon immer unfassbar lang und beinhaltet so Entitäten wie "e-commerce monitoring GmbH" (wat!?) und natürlich Konzerne und staatliche Stellen aus aller Herren Länder. Ich sage nur: GUANG DONG CERTIFICATE AUTHORITY.
Nehmen wir mal an, ihr klickt zu https://blog.fefe.de/ und euer Browser baut eine TLS-Verbindung auf. Dann meldet sich die Gegenstelle (hoffentlich, aber nicht unbedingt, mein Server!) mit einem mit meinem Public Key signierten Handshake, und mein Public Key ist signiert von Let's Encrypt, und Let's Encrypt ist in der Liste in eurem Browser. Daher weiß euer Browser, dass er mit meinem Server redet und nicht mit der NSA.
Aber weiß er das wirklich? Was wenn sich da jemand anderes meldet, sagen wir mal der chinesische Geheimdienst fängt die Verbindung ab und leitet die zu sich selbst um, und da kommt dann ein gültig aussehendes Handshake, das aber von einer anderen CA in eurer Browserliste signiert wurde! Zum Beispiel von "Hong Kong Post". Dann würde euer Browser das auch akzeptieren.
Die Telekom hat auch eine CA in der Liste.
Das ist ein fundamentales Problem bei der ganzen TLS-Nummer, für die es auch keine wirklich tolle Lösung gibt. Bisherige Ansätze sind, dass ich in meinem DNS einen Eintrag haben kann, dass nur Let's Encrypt CAs ausstellen darf. Andere CAs sollten sich dann weigern, wenn der Geheimdienst kommt und ein Cert ausgestellt haben will. Das nimmt aber gutmeinende, nicht kompromittierte und nicht an gesetzliche Vorgaben gebundene CAs an.
Der nächste Ansatz ist, dass alle CAs sich zu Transparenz verpflichtet haben, und alle ausgegebenen Zertifikate automatisiert in eine gemeinsame öffentlich einsehbare Liste eintragen. Das nimmt leider auch eine gutmeinende, nicht kompromittierte CA an.
Warum erzähle ich das alles? Erstens um noch mal Honest Achmed's Used Cars and Certificates zu verlinken. :-)
Aber der dringendere Grund ist, dass die EU gerade an der eIDAS-Verordnung arbeitet, bei der es um digitale Identitäten für die EU geht. Das hehre (und gute!) Ziel ist, "Login via Google" kaputtzumachen. Ihr Plan ist, ein eigenes System zu bauen, ein staatliches System, und das hat dann natürlich eine eigene CA, und die kommt in alle Browser und jedes Mitgliedsland bietet eine Wallet-App an, die dann auf alle Smartphones kommt, und Behörden und Google und Facebook und co werden dann gezwungen, Logins via dieser Wallets zu ermöglichen. Schlimmer noch: dafür kriegt dann jeder Bürger endlich einen Barcode auf den Vorderarm tätowiert (Deutschland ist endlich wieder Technologieführer!!1!), äh, einen lebenslang gültigen eindeutigen Identifier zugewiesen, mit dem der Staat dann schön alle Bürger tracken kann.
Ich würde ja von der Benutzung von sowas immer grundsätzlich abraten, weil man damit Google staatlich validierte Daten gibt, die deren Datensätze massiv aufwerten.
Aber der Punkt, wieso ich das hier alles überhaupt ausrolle, ist ein anderer. Die CAs sollen dann in die Browser, und zwar per Verordnung, d.h. staatlich erzwungen. Im Moment kann man im Browser CAs als unvertrauenswürdig markieren. Das darf der Browser dann bei diesen staatlichen CAs nicht erlauben.
Mit anderen Worten: Hier kommt per EU-Verordnung eine TLS-Hintertür in alle eure Browser. Die erlaubt Polizeien und Geheimdiensten das Ausstellen von Zertifikaten für jede Webseite, bei der sie das gerne haben wollen, und damit können sie dann einen Man-in-the-Middle-Angriff gegen jeden fahren, und zwar nicht nur innerhalb der EU, und deren Verbindungen mitlesen oder auch manipulieren und sich als Server ausgeben. Die EFF warnt da seit Jahren vor. Aktuell gibt es einen offenen Brief von hunderten von Experten dagegen. Ist alles ganz traurig, insbesondere weil sich die EU damit hinter Ländern wie Kasachstan und Indien einreiht, die ihren Bürgern bereits Zwangs-CAs oder "digitale ID"-Systeme aufgedrängt haben.
Update: Jetzt kommt ein Klugscheißer und weist darauf hin, dass das Handshake natürlich mit dem Private Key signiert ist, nicht mit dem Public Key. Der Klugscheißer hat völlig Recht. Was ich sagen wollte: Das ist mit meinem Private Key signiert, aber der Public Key wird als Teil des Handshakes übertragen und ist von der CA signiert.
Die haben jetzt nicht groß herumgeforscht, auch wenn sie das so klingen lassen am Anfang. Die haben halt die Privacy Policies der Autobauer durchgelesen.
Aber das ist schon gruselig genug:
Nissan earned its second-to-last spot for collecting some of the creepiest categories of data we have ever seen. It’s worth reading the review in full, but you should know it includes your “sexual activity.” Not to be out done, Kia also mentions they can collect information about your “sex life” in their privacy policy. Oh, and six car companies say they can collect your “genetic information” or “genetic characteristics.”
Article 6 (para II and III) of the SREN Bill would force browser providers to create the means to mandatorily block websites present on a government provided list.
Ich frage mich ja immer, was in den Köpfen von Menschen vorgeht, die so eine Idee überhaupt Dritten gegenüber zu äußern wagen. Merken die nicht, was das für faschistische Kackscheiße ist?Nicht mal China und Russland sind bisher so tief gesunken!
Die Trustpid-Sache scheint schon länger zu gehen.Ist euch mal aufgefallen, dass alle Dinge mit "Trust" im Namen immer die am wenigsten vertrauenswürdigen sind?Auf deren Webseite (trustpid.com) kann man sich den aktuellen Zustand anzeigen lassen. Laut der Webseite habe ich (scheinbar ausversehen) schon am 25.11.2022 n-tv mein Einverständnis erteilt (Screenshot).
Auf der Seite kann man angeblich auch dieses Einverständnis zurückziehen und ein zukünftiges Einverständnis entfernen. Bei mir funktioniert aber beides nicht. Die Seite behauptet, meine Änderungen seien gespeichert, aber nach Löschen der Browser-Cookies ist alles wieder wie vorher.
Und man beachte, dass mein Consent bei n-tv auch schon abgelaufen sein müsste, aber immer noch angezeigt wird... Also wie immer -- Consent funktioniert, der Rest ist kaputt.
Bei Mozilla gab es mal einen legendären Antrag zur Aufnahme in die Liste der vertrauenswürdigen CAs. An den muss ich bei solchen Gelegenheiten immer denken.
Ähnliche Assoziationen habe ich auch immer bei Exzellenzinitiativen, "demokratischen" oder "Volks"-"Republiken" und "Premium"-Produkten. Wenn du das ranschreiben musst, stimmt es wahrscheinlich nicht.
Der Einsender hat auch einen Screenshot mitgeschickt, aber das könnt ihr ja alle mal selber ausprobieren, ob die euch schon irgendwo ein "Einverständnis" untergejubelt haben. Im Privat-Modus des Browsers, versteht sich.
Das funktioniert so:
www.evil.com kann natürlich kein TLS-Zertifikat für mein Blog vorweisen, insofern argumentiert Mozilla jetzt, das sei gar kein Bug.
Lass mich raten… weil OpenSSL so einen schlechten Ruf hat?
Tavis Ormandy hat mal geguckt, wie die ihre Signaturen ablegen. Sie haben da eine Union, in der das größte Element 16 kbit groß ist, für RSA.
Okay, but what happens if you just….make a signature that’s bigger than that?Well, it turns out the answer is memory corruption. Yes, really.
Oh. Mein. Gott.Das ist schlimmer als Heartbleed. Das ist sozusagen der Hallo Welt unter den Remote Code Execution.
Sagt mal seid ihr auch so froh, dass Mozilla ihr Geld für so Dinge wie Colorways ausgegeben hat?
Oder dafür, dass ihr endlich Werbung im New Tab kriegt?
Oder für das ungefragte Einsammeln von Telemetrie?
At Mozilla, we want to make products that keep the Internet open and secure for all. We collect terabytes of data a day from millions of users to guide our decision-making processes. We could use your help.
Nein, Mozilla. Wenn ihr meine Hilfe wollt, dann löscht ihr erstmal alle Daten über eure User.Aber zurück zu diesem Bug. Tavis Ormandy ist besonders geflasht, dass Mozilla da endlos static analyzer und fuzzing gemacht hat, und die Tools haben alle grüne Lampen angezeigt. Und nicht nur doofe Fuzzer sondern aktuelle state-of-the-art Fuzzer mit Coverage-Analyse!
Mich überrascht das ja nicht so doll. Ich werde praktisch nach jedem Code Audit gefragt, wieso ihre Static Analyzer das alles nicht gefunden haben. Ihr solltet vielleicht mal weniger Geld für Tools ausgeben und mehr Geld in eure Entwickler stecken, dass die lernen, wie so ein Bug aussieht und worauf man achten sollte.
Today, Firefox is launching Colorways, a new feature that allows our users to express their most authentic selves and to bring them joy while browsing the web.
Nein, das habe ich mir nicht aus dem Arsch gezogen. Seht selbst. Geht noch weiter:As we challenge what the browser has been, and expand and define the vision of what Firefox browser is and can be, part of that challenge is to ask ourselves “who is it for and who can use it easily and feel included in the experience?”
Tja, sowas passiert, wenn man das Rust-Team feuert. Immerhin haben sie noch die Entwickler, die sich auf die wirklich wichtigen Dinge verstehen. Farbtherapie und so. Wokeness.
Die FSF hat plötzlich und überraschend gemerkt, dass sie ohne ihren Gründer, Richard Stallman, bloß eine weitere belanglose Pseudo-Organisation ist, die nichts bewegt und der Presse herzlich egal ist. Also haben sie ihn zurück in den Aufsichtsrat gewählt.
Und ah, endlich hat der Lockdown-geplagte Lynchmob wieder ein Opfer und kann sich mal so richtig als woke positionieren, schön mit schönen Rufmord-Lügen wie
Stallman werden in dem Schreiben unter anderem frauen- und transfeindliche Positionen vorgeworfen.Ah, frauenfeindlich, ja? Was ist denn der Vorwurf?
Stallman is a disgusting misogynist and known sexual harasser who licked my law professor friend’s arm from wrist to elbow when she met him and shook his hand.
Wat? OK, also sie steht da, reicht ihm die Hand, und er reicht nicht seine Hand sondern eine Zunge? Und sie kommt nicht auf die Idee, den Arm wegzuziehen? Er fängt zu lecken an, aber sie zieht den Arm immer noch nicht weg? Wat?Ich bin da vielleicht einfach nicht phantasiebegabt genug, um mir das vorzustellen. Oder vielleicht klingt das auch bloß so absurd, weil es eine Behauptung von jemandem ist, und wir nur eine Seite gehört haben?
Gibt es Zeugen? Stand da niemand daneben? Lass mich raten: Sie konnte nicht fliehen, weil sie vor Angst wie gelähmt war?
Komm, Fefe, das ist eine Jura-Professorin, wenn das so passiert ist, dann gibt das ja wohl eine der bestformulierten Klagen in der Geschichte der Jurisprudenz! Haben wir von der was gehört? Nicht?
Ja, äh, sorry, aber da erwarte ich eine bessere Faktenlage als "jemand auf Twitter sagt, ein Freund eines Verwandten habe folgende Geschichte so gut wie selbst erlebt".
Aber ok, er ist ja auch transphob, angeblich. Was ist da der Vorwurf? Die Faktenlage sieht auch da eher dünn aus. Ich zitiere:
In calling for the FSF board resignation, the petition organizers point to those comments, to the harassment complaints, to comments Stallman made about people with Down syndrome, and to his repeated comments about the singular pronoun “they,” which the petitioners refer to as “poorly disguised transphobia.”
Oh ach soooo! Die Trans-Aktivisten haben Stallman vorschreiben wollen, welche Wörter er benutzen darf, und er wollte nicht mitspielen? Na damit ist ja wohl alles klar. STEINIGT DEN TRANS-FEIND!!1!Aber komm dieses ganze Hörensagen, da wird doch ein Qualitätsverlag wie Heise nicht einfach mitmachen, oder? Na gucken wir doch mal:
In einem Appendix haben die Kritiker Beispiele gesammelt, die Stallmans Fehlverhalten dokumentieren sollen. Hier finden sich Äußerungen des GNU-Erfinders über Geschlechtsverkehr mit Minderjährigen, Kinderpornographie oder auch die Empfehlung, dass schwangere Frauen Kinder mit Down-Syndrom besser abtreiben sollten. Ebenfalls wird ihm nachgesagt, dass er sich seit Langem unangemessen gegenüber Frauen verhalte.Whoa, Dude. Geht es noch schmuddeliger, Heise? DAS ist eure Zusammenfassung? Ein von Aktivisten, die Stallman versenken wollen, aus 40 Jahre öffentlicher Äußerungen zusammengepickte Liste an Dingen, und ihr habt nicht mal die Zeit gehabt, da mal reinzugucken?
Was heißt denn "Äußerungen über Sex mit Minderjährigen"? Das Strafgesetzbuch äußert sich auch über Sex mit Minderjährigen. Sind das jetzt alles Übeltäter, die das geschrieben haben?! Was Stallman ein paar Mal gesagt hat, ist dass die Altersgrenze aus seiner Sicht nach irgendwelchen moralischen Gesichtspunkten von irgendwelchen Leuten willkürlich festgesetzt wurde und nicht auf einer wissenschaftlichen Basis beruht, was man schon daran sehen kann, so Stallman, dass in verschiedenen Ländern andere Grenzen gelten. Well yeah. Wisst ihr, wer das noch sagt? Wikipedia! Verbrennt sie!!1!
Kinderpornographie ist genau so eine Chose. Vielleicht sogar noch krasser, denn bei uns ist ja inzwischen Anscheins-Pornographie verboten, d.h. wenn der Richter findet, das Modell in der Sexszene sehe aber jung aus, die könnte theoretisch auch minderjährig sein. Wohlgemerkt: Unabhängig von der Volljährigkeit der tatsächlichen Darsteller!
Was war noch? Oh ja. Down-Syndrom. Stallman hat angeblich mal etwas in die Richtung gesagt, dass Mütter Down-Kinder ja abtreiben sollten. Kann man eklig finden, kann man zustimmen. Ich persönlich bin sehr froh, nie vor der Entscheidung gestanden zu haben. Ich kann beide Varianten verstehen. Ich weiß nicht, ob euch klar ist, wie viele Abtreibungen es nach Down-Syndrom-Diagnose gibt anteilig. Es gibt da ausreichend viel Nachfrage, dass debattiert wurde, ob die Krankenkasse den Bluttest übernehmen sollte. Das ist also keine ekelige Einzelmeinung eines Unabomber-Typen hier sondern Meinung einer substanziellen Teilmenge der Bevölkerung. Hört also mal bitte auf, da auf Stallman zu zeigen.
War noch was? Oh ja.
"Ebenfalls wird ihm nachgesagt". Hey, wisst ihr, was diesem Heise-"Journalisten" nachgesagt wird? Nicht? Gut so. Denn das ist Schmuddel-Rufmord der übelsten Sorte und daran sollte sich niemand beteiligen.
Für mich ist die Sache daher ziemlich klar. Hier will mal wieder ein Woke-Lynchmob auf Kosten von Dritten Empörungs-Olympiade spielen. Am besten immer im Namen von Dritten. Soweit kommt es ja noch, dass man tatsächlich jemanden finden muss, der beleidigt wurde. Nein, nein, solche Lynchmobs ziehen im Namen Dritter los. Genau wie damals der Ku-Klux-Klan. Die wollten ja bloß die Frauen und Kinder schützen!1!! Daher haben die sich auch immer irgendwelche angeblichen kriminellen Handlungen aus dem Arsch gezogen, die der zu lynchende Schwarze begangen haben soll.
Ekelhaft. E-kel-haft. Ich verachte solche Lynchmob-Twittertäter.
Stallman hab ich übrigens mal persönlich getroffen. Ich dachte, das sei ein Irrtum, und ein Obdachloser habe sich verlaufen. Stallman ist im Umgang auch keine einfache Person, kein klarer Sympathieträger. Das heißt nicht, dass ihr ihn lynchen könnt.
Dass ich diesen Satz überhaupt hinschreiben muss!
Widerlich, dieser Twitter-Mob.
Der hat übrigens prominente Mitglieder. Mozilla und die FSFE sind mir aufgefallen. Von Mozilla erwartet man ja schon gar nichts mehr, aber die FSFE hat sich damit voll ins Aus geschossen. Die kriegen von mir nur noch Fundamentalopposition.
Ich konnte die ja ehrlich gesagt noch nie ernstnehmen. Sind bei Stallman aufgesprungen, rennen jetzt in seinem Namen von Schnittchen-Event zu Schnittchen-Event, lassen sich die Reisen von unterinformierten Spendern bezahlen, machen immer schön "ich bin dagegen!!1!"-Statements, und haben noch keine einzige Sache erreicht, die es bis zu meinem Aufmerksamkeitshorizont geschafft hätte. Ich grübel jetzt schon zehn Minuten, ob mir irgendwas einfällt, was die FSFE erreicht hat. Was es ohne die FSFE nicht gegeben hätte.
Nee. Komme auf nichts.
Und jetzt, nach dieser Stallman-Nummer? Zumachen. Schnell zumachen, bevor sie die Free Software Community noch weiter in den Dreck ziehen mit ihrem Verhalten.
Was Stallman zu Minsky und Epstein gesagt hat, kann man übrigens selber lesen. Money Quote:
The "s" in CSAIL stands for "science". The job of scientists is to evaluate evidence and seek truth. We have a social responsibility to do that as well.
Das war hier der Kontext.> Giuffre was 17 at the time; this makes it __rape__ in the Virgin Islands.Does it really? I think it is morally absurd to define "rape" in a way that depends on minor details such as which country it was in or whether the victim was 18 years old or 17.
Wer das für eine abstoßende Idee hält, den frage ich: Schaut euch mal die Gesetze von Saudi Arabien an. Nur weil eine Sache in einem Land zu einem Zeitpunkt legal oder illegal war, heißt das noch nicht, dass man sich der Beurteilung der Gesetzeslage durch die Richter dieses Landes automatisch moralisch anschließen muss. Und zu seinem Punkt über das Alter sei auf die handliche Übersicht der Gesetzeslagen alleine in Europa verwiesen. Oder nehmt nur die Dekriminalisierung von Homosexualität. Hat sich die Dekriminalisierung eure moralische Einstellung geändert? Ich hoffe die war vorher schon auf der richtigen Seite der Frage!
We need more than deplatforming
Nvidia hat ja vor ein paar Jahren aufgehört, Grafikkarten zu bauen, die für Spieler attraktiv sind. Kein Wunder, denn in den beiden finanziell relevanten Segmenten, Unten und Mitte, haben sie Intel und AMD aus dem Markt gepreist. Und das Oberklasse-Segment ist eher sowas wie Formel 1 für Autobauer. Da versenkt man PR-Kohle rein. Das rechnet sich aber nur, wenn man in den anderen Marktsegmenten konkurrenzfähig ist. Statt für Gamer hat Nvidia versucht ihre Karten für KI attraktiv zu machen. Leider ist das alles bisher eine ziemliche Bruchlandung geworden.
Aus dem "selbstfahrendes Auto"-Segment musste sich Nvidia ganz zurückziehen, und die anderen KI-Geschichten tragen keinen Massenmarkt-Appeal. Nvidia sucht also händeringend nach PR-Argumenten, wieso Privatanwender unbedingt KI brauchen. Ihr aktueller Entwurf: Videokonferenzen!1!! Ja, äh, nee, klar. Ich schäm mich ja ein bisschen dafür, wie wenig Substanz die sich aus dem Arsch gezogen gekriegt haben.
Ich würde ja aus Gerechtigkeitsgründen auch was von Golem verlinken, aber die haben sich hinter einer derartig nervigen Nerv-Cookiewall verbarrikadiert, das kann man niemandem zumuten.
Der Lacher ist ja auch, wieso Nvidia bei KI gelandet ist. Eigentlich waren Grafikkarten mal die große Hoffnung für Supercomputer und numerische Simulationen. Die hätten aber häufig gerne lieber doppelt-genaue Fließkommazahlen. Die hat Nvidia bei ihren Konsumenten-Karten absichtlich lobotomiert, damit die Leute gezwungen sind, ihnen für absolute Freudenhauspreise ihre "professional"-Karten abzukaufen. Viele haben das getan. Viele aber auch nicht. Und ein Massenmarkt ist das auch nicht.
Die andere Anwendung für parallele Arithmetik mit hohem Durchsatz neben numerischen Simulationen sind neuronale Netze. Oh ja, und Computergrafik. Aber aus dem Markt zieht sich Nvidia ja offenbar zusehends zurück. Jedenfalls war ihre letzte Generation von Grafikkarten für den Konsumentenmarkt so teuer wie ein paar Jahre vorher die "professional"-Karten für Simulationen. Die haben so krass an der Preisspirale gedreht, dass sich nur noch Superreiche überhaupt ihre Karten leisten können. Also in den Segmenten jetzt, wo man Nvidia-Karten kaufen würde, weil es keine billigere und schnellere AMD-Karte gibt.
Ich frage mich daher jedes Mal, wieso in Vergleichs-Grafiken sowas wie die Titan-Reihe überhaupt auftaucht.
Die Grafikkarten sind übrigens deshalb so teuer, weil ja irgendwer auch die Eskapaden im KI-Sektor bezahlen muss, und so Aktionen wie "wir kaufen mal eben ARM", und hey, wieso nicht die doofen Deppen aus dem Massenmarkt zahlen lassen, die KI gar nicht nutzen?
Oh warte, doch. Für ... *papierraschel* Videokonferenzen!1!!
Update: Nachschlag zu Nvidia: Deren aktueller Ampere-Launch stellt sich wenig überraschend als Paper Launch heraus. Nur dass Nvidia so tut, als sei das doch lieferbar, während Intel nicht mal so tut, als gäbe es eine Desktop-Version in absehbarer Zeit. Dass ausgerechnet Intel mal in einem Vergleich wie die integerere Firma aussieht, das hätte ich mir auch nicht träumen lassen. Intel, wir erinnern uns, das waren die, die ihre Compiler (die übrigens richtig Geld kosten!) absichtlich lobotomiert haben, damit sie auf AMD-CPUs lahmen Code generieren. Intel, wir erinnern uns, waren die mit den ganzen spekulativen Bescheiß-Technologien zur Performance-Optimierung, die sich jetzt der Reihe nach als Sicherheitsproblem herausstellen. Intel, wir erinnern uns, waren die, die den Markt mit Werbe-Subventionen geflutet haben, aber nur, wenn die beworbene Produktlinie keine Mitglieder mit AMD-Prozessor hat. Und DIE sehen jetzt weniger schlecht aus als Nvidia. Das ist eine beachtliche Leistung auf Seiten von Nvidia.
Update: Das ist nicht die erste schwachsinnige Idee, mit der Nvidia Gamern KI überhelfen will. Es gibt auch schon Hochsampling mit KI und Bildverbesserung mit KI und bestimmt noch ein paar mehr Dinge. Die Zeiten, wo Nvidia performanterer Hardware gebaut hat, sind offenbar echt vorbei.
Update: Das war jetzt missverständlich ausgedrückt. Nur weil ich finde, dass Intel und AMD Nvidia aus dem Markt rausgepreist haben, heißt das nicht, dass sie da nichts mehr verkaufen. Das sind alles Depp ... edle Spender, die ihr Geld für die KI-Forschung verschenken! Also gut, eher nicht so für die Forschung nach KI-Durchbrüchen, eher die Forschung nach Bullshit-Begründungen, wieso ihr alle KI in euren Grafikkarten braucht. Aber hey, der Unterschied macht es ja offensichtlich nicht weniger unattraktiv für die Leute, die immer noch Nvidia Geld hinterherwerfen.
Nun, die Gehälter für ihre 1000 Mitarbeiter haben 2018 zusammen 286 Millionen Dollar betragen. Jetzt haben sie einen frischen Deal mit Google über 450 Millionen Dollar pro Jahr gemacht.
Äh, ... an welcher Stelle kommt da eine Geldknappheit ins Spiel?
Wie hoch ist denn bitte das Koks-und-Nutten-Spesenbudget der Chefetage da!?
Kommt ihr NIE drauf!
They killed [the] entire threat management team. Mozilla is now without detection and incident response.
Mozilla ist ja jetzt schon eine Katastrophe, wenn es um Security geht. Guckt euch nur mal die Fixes in Firefox 79 ein. Ach komm, Fefe, sind doch nur 4 high!1!! Ja schon, aber scrollt mal runter, da haben sie einen use after free memory corruption bug als "moderate" klassifiziert. Scrollt mal noch weiter runter. Oh gucke mal, ganz am Ende ist ja noch ein "high"! Na sowas! Ist gar nicht sortiert, haben sie nur vorgetäuscht, damit du nicht siehst, dass sie 5 statt 4 highs haben!Das ist der Zustand, in dem die Security bei Mozilla vor der Entlassung des Security-Teams war.
Aber war ja klar, dass das so kommen wird. Wenn eine große Organisation mit 80% Wasserkopf in finanzielle Not gerät, wurde noch nie der Wasserkopf verkleinert. Da werden immer die letzten paar Ingenieure gefeuert.
Update: Sie haben nicht die ganze Security-Abteilung zugemacht. Das Gecko-Team gibt es noch. Ohne die jetzt mit Scheiße bewerfen zu wollen: Gecko ist der Legacy-Kack-Teil von Firefox. Der, der durch Rust-Komponenten und Webrender ersetzt werden sollte, damit wir endlich weniger Sicherheitlücken haben.
Update: Die Rust-Engine, die Gecko ersetzen sollte, heißt Servo. Die wird offenbar auch gerade plattgemacht. Das ist furchtbar, geradezu katastrophal. Das war unsere eine Hoffnung auf eine nicht 100% von Google kontrollierte Browser-Zukunft. Gecko hat keine Zukunft.
Und das MDN-Team ist auch weg. MDN ist fast noch wichtiger als Firefox, das ist die Dokumentation der ganzen Web-Standards bei Mozilla.
If Thunderbird is configured to use STARTTLS for an IMAP server, and the server sends a PREAUTH response, then Thunderbird will continue with an unencrypted connection, causing email data to be sent without protection.
Au weia. Wenn Outlook so einen Bug bringen würde, würden alle von NSA-Backdoors herumschwadronieren.
Das ist an sich eine gute Sache, finde ich. Es gibt gerade so zwei wichtige Trends, wie wir zu sicherer Software kommen können: Mitigations und Sandboxing.
Mitigations ist die Idee, dass wir nicht die Software sicherer machen, aber das Ausnutzen von Lücken erschweren. Dann kommen nur noch Geheimdienste überall rein, obwohl immer noch alles unsicher ist. Sozusagen: Die Shadowrun-Zukunft.
Sandboxing ist die Idee, einen Prozess einzusperren, damit er nicht viel Schaden anrichten kann, wenn er Mist macht.
Ich habe lange Zeit gegen Mitigations und gegen Sandboxing argumentiert. Die anderen haben sich durchgesetzt. Webassembly überlappt mit Sandboxing. Die Idee ist nicht nur, einer bestehenden Anwendung Dinge zu verbieten, sondern eine Plattform zu bauen, wo es diese gefährlichen Aufrufe gar nicht erst gibt.
Ich werde voraussichtlich auf dem 36c3 einen Vortrag halten, der diese Idee ein bisschen näher beleuchtet.
Das Hauptproblem mit Sandboxing ist halt, dass es nicht Angriffe gegen die Software verhindert, oder das Exfiltrieren von Daten, die die Anwendung vorhält, sondern nur dagegen, dass der Hacker dann auch direkt den Rest des Systems übernimmt. Häufig sind aber die Daten in der Anwendung in der Sandbox gerade die, die geschützt werden müssen.
Aber die Begründung ist bemerkenswert:
This is expected, and works the same way in other browsers.
"This is expected" hätte ich ja an deren Stelle aus taktischen Gründen lieber als "I was just following orders" formuliert. Damit man in Zukunft nicht mit heruntergelassenen Hosen dasteht, sollte man wenigstens so tun, als sei man nur widerwillig gefolgt.Aber "die anderen machen das auch so" finde ich an der Stelle bizarr. Ich weiß ja nicht, wie es euch geht, aber wenn ich mal zurückdenke, wieso ich Firefox einsetze, dann sind das alles Dinge, bei denen Firefox die Spec gebrochen und Dinge anders gemacht hat als die anderen Browser.
Firefox hatte als erster Browser einen Popup-Blocker. Erinnert man sich heute kaum noch dran. Früher haben Webseiten ungefragt weitere Browserfenster aufgemacht, im Allgemeinen mit Werbung drin. Das folgte auch der (schlechten) Spec und alle haben es so gemacht.
Dann hat Firefox mir einen Weg gegeben, 3rd party cookies zu blocken. 3rd party cookies folgen auch der Spec und die anderen Browser machen es auch so.
Dann hat Firefox ein API für Browser-Erweiterungen gebaut, mit dem ich einen Adblocker installieren konnte. Werbung war auch Spec-konform und alle anderen Browser haben auch Werbung angezeigt.
Dann hat Firefox einen Tracker-Schutz eingebaut. Web-Tracker entsprechen auch der Spec und die anderen Browser machen das auch so.
Mir ist echt nicht klar, was die sich bei Firefox denken, wenn die so eine Ausrede zu Protokoll geben. Ich vermute: Nicht viel.
Anfang des Jahres hatte uns ein Nutzer mitgeteilt, dass sein Browser, Firefox, meinte, Gentoo’s Installationsmedium würde Malware beinhalten.Erinnert an gmail. Da könnt ihr ja mal einen von Google ausgehenden Spam zu melden versuchen. Wenn ihr auf Kafka-Geschichten steht.Leider hatte der Nutzer den Download nicht beendet bzw. gleich wieder gelöscht (die Warnung sieht halt auch gefährlich aus!). Es stellte sich dann schnell heraus, dass zumindest zum Zeitpunkt unserer Prüfung, alle Mirrors die gleichen Dateien ausgespielt haben (Checksummen stimmen überein) und diese sauber waren (ja, wir haben unsere Images mit verschiedenen Schlangenöl-Lösungen geprüft).
Was war dann der Grund? Die Herkunft! Gentoo nutzt noch Mirrors, kostenlos bereitgestellt von Dritten und kein zentrales CDN. Einer dieser Spiegelserver, mirrors.kernel.org, ist in Google’s SaferBrowsing System gelistet. Aber nicht generell, nein, nur für das *gesamte* "/gentoo"-Unterverzeichnis.
Das schließt eben auch unser Installationsmedium in "/gentoo/releases/amd64/..." mit ein.
Wir haben dann irgendwann durch unsere Kontakte die Information bekommen, dass die Ursache im *Quellcode*-Archiv zu "Shadowinteger's Backdoor" (http://tigerteam.se/dl/sbd/) einem netcat-Klon stecken würde.
Was wir bis heute nicht wissen:
- Da Google’s SafeBrowsing offenbar in der Lage ist auf Verzeichnisebene zu flaggen, wieso haben sie dann die Warnung nicht zumindest auf /gentoo/distfiles beschränkt?
- Warum ist nur mirrors.kernel.org betroffen? Die Datei liegt auf allen unseren Spiegeln. Wenn nun also wirklich Gefahr von dieser Datei ausgehen sollte müsste der gemeine User, der sich auf SaferBrowsing verlässt, doch erwarten können, dass die gleiche Datei immer und überall erkannt und geblockt werden würde.
- Aktuell (das war vor paar Wochen noch anders) scheint tatsächlich die Quellcode-Datei von allen Quellen blockiert zu werden (also wirklich nur sbd-1.37.tar.gz), was Browser, die gegen das SafeBrowsing Download-API prüfen, verhindern.
Seit dieser Zeit kämpfen wir jetzt mit Google um eine Korrektur der Einstufung. Selbst mit unseren noch immer guten Kontakten zu Google (Hallo ChromeOS!) ist da nicht viel zu machen denn bekanntlich ist Google ein technisches Unternehmen: Die wissen, dass Menschen Geld kosten. Also tun die alles um Probleme technisch zu lösen und den Einsatz von Menschen zu minimieren, so auch im "Support": Erst wenn die Error-Rate zu einem gemeldeten Problem eine bestimmte Prozentschwelle überschritten hat, schaut sich ein Mensch den Sachverhalt an... :/
Eine sticht besonders heraus, finde ich:
#CVE-2019-15903: Heap overflow in expat library in XML_GetCurrentLineNumberDas muss man erst mal schaffen, eine Funktion namens GetCurrentLineNumber zu einem Sicherheitsrisiko zu machen!
Wir arbeiten an drei Einkommensquellen und wollen sie neu gewichten: Wir haben Search, wir machen aber auch Content. Wir haben eine Firma namens Pocket, die Inhalte entdeckt und kuratiert. Da gibt es auch gesponserte Inhalte. Das ist das Content-Geschäft.Ich weiß ja nicht, wie es euch geht, aber ich wollte einfach nur einen Browser haben. Ich will kein Abo-Modell, ich will kein VPN-Service, ich will keine Premium-Features, ich will kein Pocket, ich will keine Werbung, auch keien Eigenwerbung. Und erzählt mir nicht, dass ihr so viel Einkommen braucht, wenn ihr die Kohle dann für überflüssige Premium-Scheiße verbrennt anstatt sie beim Browser rauskommen zu lassen. (Danke, Ronald)Und das Dritte, an dem wir jetzt arbeiten und was sich entwickelt, während wir über Produkte und Services nachdenken, sind Premium-Ebenen für einige dieser Angebote. Du kannst dir sowas vorstellen wie eine sichere Speicherlösung.
Völlig unvorhergesehen und überraschend stellt sich nämlich heraus, dass Zertifikate ablaufen. Tsja, Mozilla, und DAS ist die Hölle, die ihr mit Letsencrypt einmal auf die ganze Welt rausgehauen habt. Nur halt nicht alle paar Jahre mal sondern alle paar Wochen mal. Wegen … uh … Yolo!!1!
Das Zertifikat, das hier abgelaufen ist, ist ein Intermediate Cert, das im Prozess des Signierens aller Add-Ons beteiligt ist. Denn Add-Ons müssen ja neuerdings signiert sein. Damit, wenn man sie über eine signierte Verbindung von Mozilla lädt, und da Malware drin ist, Mozilla sagen kann: Haha, nicht unsere Schuld!1!!
Ich frage mich ja, wie häufig Code Signing noch komplett versagen muss, bevor dieser unsägliche Bullshit-Trend mal endlich geerdet wird.
Mozilla hat jetzt jedenfalls Add-Ons komplett abgeschaltet.
Das Problem hat den schönen Namen "armagadd-on-2.0" gekriegt :-)
Update: Solange bei Firefox die Addons nicht gehen, würde ich lieber Chrome mit ublock/umatrix nehmen als Firefox ohne.
Update: Ein Leser meldet, dass man bei Firefox Nightly in about:config Addon-Signaturprüfung deaktivieren kann (Key xpinstall.signatures.required). Das hat natürlich andere Nachteile, wenn ihr nicht ausschließen könnt, dass euch freidrehende Software Firefox-Addons unterjubeln will. Auf der anderen Seite hatten wir ja auch schon genügend signierte bösartige Firefox-Addons. Mozillas Lösungsvorschlag ist, dass ihr alle Mozilla die Erlaubnis erteilt, Studien bei euch durchzuführen, und dann kommt innerhalb der nächste 6 Stunden hoffentlich diese eine magische Studie bei euch vorbei, die das fixt.
Mozilla has told BleepingComputer that they will be enabling the tracking feature called hyperlink auditing, or Pings, by default in Firefox. There is no timeline for when this feature will be enabled, but it will be done when their implementation is complete.
Dass die Leute aber auch alle nie den Hals voll kriegen können! Wieso müsst ihr eigentlich wissen, auf welche Links ich klicke? Go fuck yourself!
(size_t)(uint1+uint2)Selbe Annahme, genau so falsch. Der Cast nach size_t findet nach der Addition und dem arithmetischen Überlauf statt.
Mozilla verteilt die Updates über http aber ein Manifest über https, wo Hash-Werte der Dateien drinstehen. Das ist ein etabliertes Muster, das man früher häufig angewendet hat, weil die Mirrors oder das CDN nicht https konnten. Die Zeiten sind vorbei, aber es ist nicht per se unsicherer. Ich hätte das nicht angekreidet. Der Report argumentiert, dass man sehen kann, für welche Plattform jemand Updates zieht. Ja, aber das kann man auch bei https anhand der Menge der übertragenen Bytes sehen. Die Installer oder Updater für verschiedene Pattformen sind ja nicht alle gleich groß.
Die meisten Probleme waren in der Management-Oberfläche. Das ist nicht überraschend, so sieht das häufig aus in der Praxis. Im Updatemechanismus selbst haben sie keine schlimmen Dinge gefunden, und der Bericht sieht ordentlich gemacht aus. Das sind also gute Nachrichten für alle Firefox-Benutzer.
Ich muss ja sagen, dass ich das einen sehr erfreulichen Trend finde, dass Open Source-Projekte nicht nur Audits machen sondern dann die Berichte veröffentichen.
Update: Mir hat einer der Autoren des Reports geschrieben und erklärt das Missverständnis mit dem Overflow. Und zwar gibt es da einen anderen Check, bei dem in der Tat ein sizeof() Teil der Addition ist. Insofern haben die sich in ihrem Finding nicht geirrt (das wollte ich auch nicht unterstellen), aber die Formulierung war missverständlich. Es gibt da aber übrigens immer noch Komplikationen:
printf("%lu %lu",1+15+0xfffffff0u+(size_t)10,(size_t)10+0xfffffff0u+1+15);
Das ergibt mit gcc 8.2 auf x86_64-linux:
10 4294967306
Na Marshall Erwin. Und was hat der vorher so gemacht?
I spent roughly the first five years of my career in the CIA’s counterterrorism center. There’s a unique element to the job in the counterterrorism center where I got to support our operational work, helping to find members of al-Qaeda, for example, and understanding the threats that they posed.
Na das passt ja mal wieder wie Arsch auf Eimer! (Danke, Jan)
DNS hat zwei große Probleme. Erstens dass jeder auf dem Weg die Anfragen und Antworten sehen kann. Und zweitens dass man falsche Antworten auf anderer Leute Anfragen schicken kann.
Das erste Problem ist zwar doof, aber nicht verheerend. Das liegt daran, dass man für die DNS-Auflösung normalerweise den DNS-Server des Internet-Providers nimmt, und der kann eh sehen, mit welchen IP-Adressen du redest. Der gewinnt also nicht so viel, und mit dem hast du ein Vertragsverhältnis und das ist eine deutsche Firma und die unterliegt dem deutschen Datenschutz. Nicht ideal aber auch kein Beinbruch. Und wem das nicht reicht, der kann sich einen eigenen DNS-Resolver irgendwo hinstellen und selbst betreiben. Dann muss man aber ein VPN zu dem benutzen, sonst kann der ISP immer noch alles sehen.
Ja aber Fefe, der BND könnte doch Kabel Deutschland hacken und die DNS-Daten abschnorcheln! Ja, könnte er, aber er müsste dann alle ISPs hacken, um an alle DNS-Daten ranzukommen. Wenn ihr 1.1.1.1 oder 8.8.8.8 verwendet, dann muss die NSA nur diesen einen Anbieter hacken und hat alle DNS-Daten von allen Leuten auf der Welt. Macht das also nicht!
Das zweite Problem, dass jemand falsche Antworten unterschieben kann, wird vollständig von TLS gelöst.
Warum spreche ich das an? Weil Heise gerade Propaganda fährt, DNS sei so unsicher, und man möge doch JSON über HTTPS zum Auflösen von Namen nehmen. Dazu kann ich nur sagen: NEEEEIIIINNNNN! Der Feind von Sicherheit ist Komplexität. Einen DNS-Resover kann man in ein paar hundert Zeilen Code schreiben. Ich weiß das, weil ich es getan habe. Ein JSON-über-HTTPS-Client sind 5-6stellig viele Zeilen Code.
Und das noch größere Problem: Firefox hat das gerade in ihren Browser eingebaut. Und zwar so, dass die Anfragen über Cloudflare gehen. NEEEIIIINNNN!!!! Damit ist Cloudflare ganz oben auf der Liste der für die NSA interessanten Firmen, und da könnt ihr mal einen drauf lassen, dass die die DNS-Daten da abgreifen werden. Zur Not nicht per Hack sondern per National Security Letter.
Was also tun? Nun, Option 1: Das wegkonfigurieren bei Firefox. about:config, nach trr suchen, network.trr.mode auf 5 setzen.
Option 2: Eigenen DNS-over-HTTPS-Server betreiben. Kann man machen. Hier ist eine solche Software in Rust. Das Kosten-Nutzen-Verhältnis stimmt aber aus meiner Sicht nicht.
Hier ist ein aktueller Blogpost dazu.
Ich finde es höchst bedauerlich, wie Firefox mit solchen Geschichten weiter Krieg gegen ihre User führt. An die Werbe-Add-Ons und die extern gehostete Addons-Seite mit Google Analytics erinnert ihr euch ja sicher noch alle. Und an die tolle Idee, Werbung auf der New-Tab-Seite einzublenden? Mann Mann Mann, Firefox. Was denkt ihr euch bloß!
Update: Das betrifft im Moment nicht die Stable-Version. Offizieller Doku.
Update: Nachdem Golem und Heise hierauf linken, ist es vielleicht an der Zeit, Gegenforderungen aufzustellen. Meine Forderung ist ganz einfach: Weniger Komplexität. Komplexität ist der Feind. Die Anzahl der Bugs steigt mit der Codegröße. Die Leute stöpseln heute nur noch Komponenten aus Libraries zusammen. Das ist Schönwetter-Programmieren! Ein Programm, das nur beherrschbar ist, wenn es zufällig gerade gut funktioniert, ist wertlos. Wir brauchen Programme, die überschaubar wenig Dinge tun, und dafür vollständig beherrschbar sind. Am besten nicht nur vom Programmierer, sondern auch vom Benutzer. Die Geschwindigkeit, mit der wir uns mit unbeherrschten und unbeherrschbaren Technologien umzingeln, ist aus meiner Sicht ein Vorbote der Apokalypse.
Asimov beschreibt in seiner Foundation Serie eine Zukunft, in der die Menschheit selbst-reparierende Atomkraftwerke gebaut hat. Und als die fertig waren, starben die Leute aus, die die noch reparieren konnten, weil man sie nicht mehr brauchte. Nach vielen Jahren war die Selbstreparatur dann am Ende und es gab niemanden mehr, der die warten konnte.
So ungefähr machen wir das auch gerade. Nur dass wir den Schritt mit dem Selbstreparieren überspringen. Wir bauen direkt Dinge, die niemand mehr reparieren kann. Schlimm genug, wenn die Hardware heute so ist, aber das heißt doch nicht, dass die Software auch so sein muss?!
Mich macht besonders fertig, dass wir jetzt mit "KI" soweit sind, dass wir unwartbare Software absichtlich herbeiführen. Wie in einem Scifi-Film, wo die Aliens erst Hirnfresser-Parasiten schicken, damit die Zielrasse sich selbst kaputtmacht, und man für die Machtübernahme nicht mehr so viel Ressourcen aufwenden muss.
Sehr schön! Endlich! Das wird den ganzen Datenkraken gewaltig ihre Big-Data-Träume zerschießen!
Update: Ist nur im Private-Modus :-(
Sorry, Mozilla. Das kriegt ihr nicht weggewaschen. Was für eine bodenlose Frechheit.
WTF soll das werden? Wenn Microsoft ihre Kunden mit Edge-Werbung vollspammt, dann können wir ja wohl auch unsere Kunden mit Werbung vollspammen?!
Nein, Mozilla. Könnt ihr nicht.
Das Wasser-Geräusch da im Hintergrund gerade? Das war eure jahrzehntelang aufgebaute Vertrauensbasis, die ihr gerade im Klo runtergespült habt.
Update: Mozilla rudert zurück. Tja. Zu spät. Von sowas rudert man nicht zurück. Immerhin haben sie anscheinend auch die eigenen Mitarbeiter überrumpelt, die waren genau so überrascht wie wir.
Mein IoT-Vortrag schien ganz gut anzukommen, aber das Podium war zu lahm. Heise hatte kurzfristig ein Podium zur Frage "Sind Antiviren Schlangenöl?" eingeplant, nachdem ich da im Blog einen kleineren Schlagabtausch mit Heise Security hatte. Ich war ja erstmal überrascht, dass Heise Events es geschafft hat, für alle fünf Termine jemanden von der AV-Industrie zu finden, der sich da hinsetzt und das debattieren will. Die haben ja im Wesentlichen nichts zu gewinnen in einer Diskussion zu der Fragestellung. Aber sie haben es geschafft, und Hut ab vor den Leuten, die das jetzt machen.
Heute war das Ralf Benzmüller von G Data.
Weil das recht kurzfristig noch ins Programm gehievt wurde, und wir dann an dem Tag noch am Programm herumgeschoben haben, damit das nicht nur 30 Minuten sind wie ursprünglich eingeplant, und wir vorher auch keine Gelegenheit hatten, mal einen roten Faden zu klären, lief das Podium dann ein bisschen unrund, wie ich fand. Erstmal hat Heise vorher und nachher gefragt, wer meine These unterstützen würde, und wer die Gegenthese unterstützen würde, und ich konnte grob niemanden auf meine Seite ziehen, fing auch mit der klaren Minderheitsposition an. Das erwähne ich nur, um euch zu sagen, dass mich das nicht stört. Ich mache das nicht, "um zu gewinnen" oder so. Mich stört aber, dass wir teilweise aneinander vorbei geredet haben.
Ich habe extra versucht, da die technischen Details rauszuhalten, und auf einer ganz fundamentalen Ebene zu argumentieren.
Ich habe u.a. argumentiert, dass ein Virenscanner ja PDF-Dateien scannt, auch wenn ich gar keinen PDF-Viewer installiert habe. Dann wäre ich also ohne Antivirus sicher vor Angriffen via PDF gewesen, und erst durch den Antivirus kommt ein PDF-Parser ins Spiel, der wie jeder Parser-Code potentiell angreifbar ist. Ralf dachte, ich meinte, dass der mit den selben Exploits wie Acrobat angegriffen würde, und versuchte dann auszuführen, dass ein Antivirus ja die PDF-Datei gar nicht wirklich ausführt, sondern nach Heap Spraying und NOP Sleds sucht. Nicht nur verteidigte er damit einen Punkt, den ich nie kritisiert habe; im Publikum verstand das dann auch noch jemand so, als habe er eingeräumt, dass sie da nur oberflächlich ein bisschen draufschauen und das also gar nicht wirklich absichern.
Diese Art von Detail-Kleinkram wollte ich gerade vermeiden in der Debatte, denn da verliert man sich in irgendwelchen für die Diskussion und das Publikum unwichtigen Dingen.
Meine Aussage ist ja, kurz zusammengefasst, folgende:
In meinem rationalen Universum ist mit diesen beiden Punkten alles gesagt. Funktioniert nicht und verursacht Folgeprobleme? Will man nicht!
Und für den Fall, dass die "ist ja bloß ein Grundschutz"-Ausflucht kommt, vielleicht noch garniert mit "100% Sicherheit gibt es gar nicht", hatte ich mir überlegt, wie das wäre, wenn man eine Putzkraft einstellt, und die hinterlässt dann in der Küche einen großen Schmutzfleck, und argumentiert dann: Ist ja nur eine Grundreinigung, der Flur ist aber voll sauber jetzt!
Wieso würde man bei einer Putzkraft höhere Standards anlegen als bei einem Antivirus? Erschließt sich mir nicht.
Aber es stellt sich raus, und das muss ich völlig emotionslos hinnehmen, dass die Leute da draußen wissen, dass Antiviren nichts bringen, potentiell die Dinge schlimmer machen, Geld kosten, und die Werbeversprechen der Hersteller zum Gutteil falsch sind — und das trotzdem für einen nicht nur akzeptablen sondern notwendigen Deal hält.
Ich vermute, dass es da einen bisher unerkannten psychologischen Hintergrund gibt. Meine Vermutung ist, dass das unser Ablassschein dafür ist, dass wir lauter Software einsetzen, der wir nicht vertrauen, und von der wir aus Erfahrung wissen, dass sie unsicher ist. Wir setzen die trotzdem ein, uns müssen diesen offensichtlichen Fehler irgendwie wegrationalisieren. Dafür kaufen wir uns beim Schlangenöllieferanten einen Ablassschein. Dem können wir zwar auch nicht vertrauen, aber das war ja auch nicht der Punkt an der Sache. Den Antivirus kauft man nicht, damit er einen absichert, sondern damit man sagen kann, man habe aber einen Antivirus gehabt.
Ich frage mich, ob man da nicht viel Aufwand sparen kann, und den Leuten das Geld abnimmt, aber ohne einen Antivirus zu liefern. Sankt Fefes Schlangenöl-Ablassbrief. Du setzt Internet Explorer ein? Sag drei Ave Maria und kaufe vier Sankt Fefe Schlangenöl-Ablasszertifikate!
Als Gegenleistung könnte man so richtig schöne Zertifikate drucken. Auf gutem Papier, ihr wisst schon. Wasserzeichen, Prägung, vielleicht noch ein Wachssiegel.
Sollte ich mal vorbereiten und bei solchen Gelegenheiten verkaufen. Aufschrift: Dem Eigentümer dieses Zertifikates wird verziehen, dass er immer noch Firefox einsetzt, obwohl er wusste, was da mit jedem einzelnen Release für unfassbar furchtbare Sicherheitslücken zugemacht werden müssen, und dass es keinen Grund für die Annahme gibt, dass diese Reihe nicht so weitergehen wird. Gezeichnet: Kardinal Rieger.
Auf der anderen Seite kann es natürlich sein, dass so ein Podium gar nicht funktionieren kann, denn es war ja gar nicht mein Ziel, da irgendeinen bestimmten Hersteller rauszuziehen und schlecht zu machen, schon gar nicht den, der sich neben mir aufs Podium getraut hat. Es ist auch nicht mein Ziel, dazu aufzurufen, dass die Leute alle ihre Antiviren deinstallieren. Wir sind hier alle Erwachsene. Wer auf selbstzugefügte Schmerzen steht, dem werde ich da keine Vorschriften zu machen versuchen. Und häufig haben gerade Firmen sowas ja auch aus Compliance-Gründen oder weil sonst die Versicherung im Schadensfall nicht zahlt.
Naja, und so kam am Ende völlig überraschend raus, dass die Fakten völlig unstrittig sind. Wir legen sie bloß fundamental verschieden aus.
Update: Der Vollständigkeit halber: 100% Sicherheit gibt es natürlich doch. Jemand, der keine PDF-Software installiert hat, ist 100% sicher vor PDF-Exploits. Bis er einen Antivirus installiert. Dann nicht mehr.
Update: Ich werde häufig gefragt, was denn mein Vorschlag gegen Malware ist. Hier ist meine Antwort.
Die Malware-Problematik besteht aus zwei zu trennenden Hälften. Erstens Malware, die unter Ausnutzung von Sicherheitslücken auf das System kommt. Zweitens Malware, die völlig legitim auf das System kommt, beispielsweise in einer E-Mail, und die dann vom Benutzer ausgeführt wird.
Die erste Kategorie von Malware kriegt man weg, indem man Softwarehersteller für Schäden in Haftung nimmt, die aus ihren Sicherheitslücken resultieren. Die zweite Kategorie von Malware kriegt man weg, indem man das Modell von Mobiltelefonen übernimmt. Anwendungen laufen nicht mehr in einem großen Universum gleichberechtigt nebeneinander und haben alle vollen Zugriff auf alle Ressourcen, auf die der User Zugriff hat, sondern Anwendungen laufen jeweils in einer Sandbox mit minimalen Rechten, und wenn sie eine Datei öffnen wollen, können sie nur das System bitten, einen "Datei öffnen"-Dialog anzuzeigen. Dateien einfach so mit Dateinamen öffnen oder ohne Rückfrage geht nicht. So ein Modell hat Microsoft mit ihrem App Store zu etablieren versucht, und der Markt hat sie ausgelacht und das nicht haben wollen. Dafür installieren wir uns dann einen Antivirus drüber. Um unser schlechtes Gewissen zu beruhigen.
Update: Hier kommt der Einwand, dass das ja noch dauert, bis wir Produkthaftung kriegen. Das ist also jetzt keine akute Lösung!1!! Ja, und? Gegen 0days zu helfen sagen ja auch Antiviren nicht zu. Und wenn es kein 0day ist, muss man halt immer schön alles gepatcht halten. Dann kann einem die auf Sicherheitslücken basierende Malware auch nichts. Für mich ist das der Gipfel der Unverantwortlichkeit, wenn Konzerne sich ganze Abteilungen mit Bremsklötzen leisten, die dann vorgeblich Patches "prüfen", ob die wirklich ausgerollt werden müssen oder nicht. Und in der Praxis führen die nur dazu, dass steinalte Exploits in dem Laden noch funktionieren. Aber hey, dafür haben wir ja Antiviren installiert!1!!
Und nicht auf Sicherheitslücken basierende Malware kriegt man im Firmenumfeld dadurch weg, dass man den Leuten keinen lokalen Adminzugang gibt und sie nur Programme von der Whitelist ausführen lässt. Ich glaube ja, dass das mit der Tooldiskussion neulich hier im Blog Hand in Hand geht. Firmen tolerieren ein geradezu groteskes Maß an Unwissen und Lernverweigerung. Und die Mitarbeiter nehmen das dankend an, weil sie dann die Unschuld vom Lande geben können. "Ja aber ich hab doch bloß auf das Bild geklickt und die drei Warnfenster sofort ungelesen zugemacht!1!!"
Hups.
Aber man kriegt ein Gefühl dafür, mit was für Wildwestmethoden Webseiten auf die informationelle Selbstbestimmung ihrer Benutzer scheißen, und die Daten gleich an ein halbes bis ganzes Dutzend von Drittverwertern weiterreichen. Die können alle sehen, welche Artikel du liest. Und weil heutzutage überall in der URL steht, worum es in dem Artikel ging, müssen die nicht mal auf die URLs klicken, von denen der Traffic kam, um zu sehen, was deine Präferenzen so sind.
Ich habe mich daher dafür entschieden, grundsätzlich mit angeschaltetem umatrix zu surfen. Das macht regelmäßig Stress und Ärger. Eingebettete Youtube-Videos kommen erst nach Freischaltung, Webformulare failen, Onlineshopping geht nicht, weil externe Zahlungsdienstleister eingebettet werden, und die dann am besten auch noch Cross-Domain "Verified by Visa" oder ähnlichen Bullshit einzublenden versuchen. Ich kann gar nicht überbetonen, was das für ein Ärger täglich ist. Aber das ist es mir wert.
Und im Vergleich zu Lösungen wie Ghostery habe ich halt keine Liste von bekannten Trackern, die ich wegfiltere, sondern ich filtere alles weg, was nicht explizit erlaubt ist. Wenn ihr das auch mal probieren wollt, dann bereitet euch mental darauf vor, dass das mit Ärger verbunden ist. Mit Ärger und mit Erkenntnisgewinn.
Dem geneigten Leser wird bei der Gelegenheit auffallen, dass auch eine meiner Webseiten externe Referenzen macht — Alternativlos lädt die Audiodaten vom externen CDN nach. Das läuft unter einer anderen Domain, nämlich as250.net. Nun könnte ich dafür ja auch einen DNS-Alias machen, damit alternativlos.as250.net auch unter as250.alternativlos.org erreichbar ist. Der Grund, wieso ich das im Moment nicht mache, ist weil ich dem CDN dann auch für SSL-Verbindungen einen Schlüssel geben muss, der für eine alternativlos.org-Subdomain gültig ist. Das zieht aber andere Sicherheits-Nachteile nach sich.
Update: Ich sollte mal konkreter werden, was das Problem ist. Es geht darum, was der mögliche Schaden ist, wenn das CDN gehackt wird. Im Moment kann das CDN böse Audiodateien ausliefern, die den Browser verwirren oder angreifen. Wer nicht immer seine Patches einspielt, hat aber grundsätzlich ein Problem, insofern mache ich mir da weniger Sorgen. Aber wenn ich jetzt dem CDN ein SSL-Zert für cdn.alternativlos.org ausstelle, und der setzt Cookies, dann kann er die mit dem Scope alternativlos.org setzen. Das betrifft mich jetzt konkret auch nicht, weil ich nicht mit Cookies operiere, aber es ist ein Problem und einer der Gründe, wieso CDNs häufig auf eigenen Domains laufen. Schlimmer (?) noch: Wenn alternativlos.org jetzt selber Cookies setzen würde, sagen wir mal um die Session zu identifizieren, dann würden die auch alle beim gehackten CDN-Server übergeben werden, und der könnte alle Sessions klauen. Betrifft alternativlos.org jetzt nicht konkret, aber das sind so die Probleme dabei, wenn man das CDN auf eine Subdomain legt.
Stellt euch zum Beispiel vor, dass ihr einen Container nicht verändern dürft (und das heißt auch: keine non-const Reference übergeben!), solange noch ein Iterator auf diesem Container existiert. Rust hat einige echt großartige Ideen an der Stelle, und das Versprechen von Rust ist, mit Memory Corruption als Fehlerklasse Schluss zu machen.
Nun ist Rust leider aus dem Mozilla-Umfeld, die eher für Verkacken bekannt sind als dafür, dass in endlicher Zeit etwas rauskommt, das dann auch noch funktioniert. Aber Rust scheint die eine Ausnahme in dem Porfolio von Mozilla zu sein, wo das wirklich so ist.
Ich beobachte das jedenfalls fasziniert aus der Ferne und wünsche alles Gute.
Das Hauptproblem bei sowas ist ja, dass in der Praxis die gruseligen Codebasen, die sowas wirklich brauchen würden, so Dinge wie Firefox sind. Viel zu groß, als dass man da realistisch etwas tun könnte, so jedenfalls der übliche Einwand. Und dann kommen die Mozilla-Leute und schreiben eine HTML5-Layout-Engine in Rust.
Ich bin verhalten optimistisch. Aber naja, eine Layout-Engine ist ja eine Sache, aber was ist denn mit den ganzen Codecs? Und dem Font Rendering? Ich persönlich traue ja den ganzen Font-Render-Engines nicht so weit, wie ich einen Kleinwagen werfen kann.
Und es stellt sich raus: ist in Arbeit (bisher nur der mp4-Container, nicht die tatsächlichen Codecs; aber hey, man muss ja irgendwo anfangen) und Font-Rendering ist auch in Arbeit!
Und dabei kommt dann plötzlich raus, dass Font-Rendering mal eben um fast eine Größenordnung schneller geht als bisher (der Vergleich geht gegen Truetype, was unter Linux und Android die Standard-Engine ist)!
Warum erwähne ich Android extra? Weil der Typ, der das macht, aus der Android-UI-Ecke kommt!
Das heißt auf der einen Seite, dass wir hier schon wieder Google zu danken haben, die ihr Geld für Dinge ausgibt, die uns allen helfen, und zweitens dass Android möglicherweise auf den Rust-Zug aufspringt. Und natürlich alles schön Open Source und auf Github.
Es sind Meldungen wie diese, die mir ein verhaltenes Gefühl der Hoffnung auslösen. Vielleicht kriegen wir den ganzen Scheiß doch noch geregelt.
Update: Es schreiben auch Leute an einem Betriebssystem in Rust.
Erstmal: Mir war nicht bewusst, wie viele Leute in ihrem Browser routinemäßig Ctrl-+ bzw Ctrl-Mausrad verwenden, um die Schriftgröße anzupassen. Das klappt mit meinem Ansatz nicht mehr, weil ich die Schriftgröße in Relation zur Browserbreite setze. Wenn man da zoomt, dann tut sich nichts. Das ist ja gerade die Idee.
Mehrere Leser haben sich beschwert, dass die Schrift jetzt zu groß ist. Diese Leser haben, soweit ich das sehen kann, alle ihren Browser im Fullscreen-Modus am Laufen. Ich habe meinen Browser ab 1920x1080 immer ungefähr halb so breit wie den Bildschirm, bei weniger Auflösung anteilig mehr als die Hälfte.
Und in der Tat, wenn man Fullscreen macht, dann ist die Schrift "zu groß". Allerdings — kommt drauf an. Wenn man Fullscreen macht, weil man die Seite auf einem Projektor anzeigen will, und die Leute sollen hinten noch was erkennen können, dann ist sie nicht zu groß. Insofern funktioniert es schon ein bisschen wie gedacht.
Die Frage ist, wie ich im CSS zwischen "Browserfenster ist Full HD, Display ist 4k" und "Browserfenster ist Full HD, Display auch" unterscheiden kann. Oder vielleicht sollte ich das gar nicht unterscheiden und hoffen, dass der Browser den DPI-Wert ordentlich auslesen kann?
Hier sind noch einige interessante Tipps eingegangen, wie ich das anders machen kann. Die werde ich dann mal durchprobieren.
Von den Schriften her ging hier noch mehrfach der Hinweis auf Fira ein, eine sehr schöne Schriftfamilie von der Typographen-Legende Erik Spiekermann. Fira ist für das Mozilla-Projekt entstanden und u.a. hier herunterladbar ist. Fira ist in der Tat eine sehr schöne Schriftart, die ich aber bisher nur in Überschriften ausprobiert habe, nicht für den Fließtext.
Update: Vielleicht sollte ich mal konkret fragen: Was ist eigentlich das gewünschte Ziel für Fullscreen-Browsen auf einem 16:9 oder 16:10-Bildschirm? Wenn die Typographie-Richtlinien sagen, dass Zeilen nicht zu lang sein sollen, bleibt ja nur a) riesige Schrift oder b) riesige sinnlose Ränder. Seit ich den 4k-Monitor habe, ärgere ich mich über sinnlose Ränder im Web, daher hab ich in meinem ersten Ansatz halt die Schrift größer gemacht.
In meinem Weltbild geht man nur in den Fullscreen-Modus, wenn man a) ein Video gucken will oder b) jemandem im Zimmer was zeigen will oder c) mit einem Projektor arbeitet und anderen was zeigen will. Insofern ist das durchaus so gedacht gewesen, dass im Fullscreen-Modus die Schrift eher an Vortragsfolien als an Fließtext erinnert von der Größe her. Der Punkt war ja gerade, dass man nicht nachjustieren muss. Daher jetzt mal an die Fullscreen-Leser: Was ist denn eure Erwartungshaltung gewesen? Dass der Text eine dünne Kolumne von 25% oder weniger eurer Bildschirmfläche füllt und ihr dann immer mit Ctrl-Scrollrad nachjustiert?
SNI ist eine TLS-Erweiterung, bei der als Teil des Handshakes der Name des Servers überträgt. Vor SNI konnte man pro IP-Adresse nur einen Server per SSL hosten. Meines Wissens unterstützen alle Browser SNI. Dachte ich jedenfalls.
Ich trug also das Letsencrypt-Cert per SNI ein, testete und alles war gut.
Aber es sieht aus, als war das Zufall, denn alle Nase lang kriegte jemand noch das Fallback-Cert zu Gesicht.
Beim Debuggen kam raus, dass das SNI-Callback auch später in der Verbindung nochmal kommen konnte, nicht nur während des Handshakes am Anfang. gatling macht virtuelles Hosting über Unterverzeichnisse, d.h. die Daten für "blog.fefe.de" sind in den Unterverzeichnissen "blog.fefe.de:80" und "blog.fefe.de:443", je nach dem wie der Client reinkommt. Nach dem initialen Handshake ist gatling dann in dem jeweiligen Unterverzeichnis und findet im SNI-Callback das Zertifikat nicht mehr.
Ich habe das dann als kurzer Hack so gefixt, dass ich die Zertifikate mit dem vollen Pfad öffne. Aber im Moment bei meinem Testen habe ich den Effekt, dass Firefox das Letsencrypt-Cert sieht, aber Chrome das CACert-Cert. Ich habe ehrlich gesagt keine Theorie, wieso das so sein könnte. Ich debugge mal weiter.
Update: Nach Shift-Reload zeigt auch Chrome das Letsencrypt-Cert an. Die werden doch nicht ernsthaft die Cert-Daten cachen!? Nee, so blöde kann keiner sein!
Update: Doch, so blöde können die sein.
Update: Et tu, Firefox?
Ich habe ja noch nie "bro" als abwertendes Wort für Frauen gehört. Ich habe immer nur gehört, wie Frauen mit dem Wort Männer abwerten. ABER SELBST WENN, was hat das mit einer Abkürzung in einem HTTP-Header zu tun?! Geht's noch?
Man tut an die externe Referenz im HTML im Wesentlichen noch einen Hashwert über den Inhalt der externen Ressource dazu, und wenn da was mit anderem Hashwert kommt, wird es verworfen.
Damit das tatsächlich sicher ist, sollte man natürlich die Webseite dann auch per HTTPS ausliefern.
Update: Wobei, eigentlich ist das ja auch wieder bescheuert. Wenn man die Webseite per HTTPS ausliefert und Hashwerte für die externen Ressourcen mitliefert, dann gibt es keinen Grund mehr, die Javascript-Libraries von externen CDNs noch per HTTPS zu laden. Aber wenn man es nicht tut, wird der Browser rumheulen. Oder haben die das abgeschafft für Ressourcen mit Subresource Integrity? Denn das könnte Webserver massiv entlasten, wenn man für die ganzen verlinkten Unterressourcen nicht mehr https nehmen müsste, nur noch für die Hauptseite. Und dann warum bei Skripten aufhören, warum das nicht auch gleich für die Bilder und Multimedia-Inhalte machen?
Wie das halt so ist, wenn man Security-Kram nicht sofort fixt, sondern da glaubt, noch ein paar Wochen bis Monate drauf herumsitzen zu können. Merkel-Politik ist halt immer Scheiße, in der Politik wie bei Softwareprojekten. Aussitzen funktioniert nicht.
ENDLICH sind wir weg von diesem Flash-Binärkack und von Binaries für irgendwelche speziellen Plattformen und haben Skriptsprachen für eine gemeinsame Plattform. Endlich kann man einfach Ctrl-U machen und sich angucken, was da passiert. Kaputte Skripte zur Not selber debuggen. Selbstgehackte DRM im Web ist endlich weg (abgesehen von diesem Chrome-Netflix-Zeugs).
Und was machen diese Schwachmaten da? Erfinden ein neues Binärformat fürs Web. Und sagen explizit an, dass das ein Compiler-Target sein soll. JA SUPER! Ich sage gleich mal an, dass es eine Industrie geben wird, die auf Basis davon DRM baut, die "Obfuscation"-Technologien verkaufen wird, und wir werden eine neue dunkle Ära für geschlossenes Web einleuten. Und das alles so völlig ohne Not! Und dann werden wir wieder "works best in Internet Explorer" haben. Eine Frage der Zeit, bis Microsoft oder Apple spezielle proprietäre APIs für ihre "Web-Binaries" exportieren. DirectX für WebAssembly! Und am Ende haben wir dann ein verkapptes .NET für Arme im Browser. Hint: Hatten wir schon. Hieß Silverlight. Ist gefloppt.
MCS Holdings hat dann mit dem Zertifikat ein paar gültige Zertifikate für ein paar Google-Domains erstellt. Das ist aufgeflogen, weil Chrome und Firefox inzwischen Certificate Pinning betreiben, d.h. die haben hart einprogrammiert: Wenn für diese Domain (die Liste umfasst eine handvoll "wichtige Domains" wie halt u.a. die von Google) irgendwo ein falsches Zertifikat auftaucht, dann telefonieren die nach Hause und petzen. Und so konnte Google das sehen und hat dann CNNIC zur Rede gestellt. Und die haben gesagt:
they had contracted with MCS Holdings on the basis that MCS would only issue certificates for domains that they had registered.
Klar haben wir diesem Kind eine geladene Schusswaffe verkauft, Euer Ehren! Aber wir haben ihm ganz deutlich gesagt, dass es damit keinen Scheiß machen darf!1!!Diese Art von Versagen ist übrigens kein Alleinstellungsmerkmal der Chinesen.
Auf der einen Seite ist es natürlich schön, dass sowas heutzutage auffliegt. Certificate Pinning ist keine doofe Idee. Microsoft macht das auch, und die eine oder andere ranzige App tut das inzwischen auch. Damit hat so eine App dann einen handfesten Vorteil gegenüber dem Webbrowser, außer es handelt sich um eine Google-Domain oder so.
Aber, der Punkt, über den ihr an der Stelle mal nachdenken solltet: Was ist denn, wenn CNNIC/MCS nicht für eine Google-Domain so ein Zertifikat ausgestellt hätte, sondern für banking.postbank.de oder so? Das würde doch keine Sau merken! Euer Browser würde jedenfalls nicht meckern. Dabei wäre das eigentlich kein Ding, allgemeines Certificate Pinning zu implementieren. Ich hab sowas 2009 schon mal vorgeschlagen. Aber auf mich hört ja immer keiner, und dann sind danach alle ganz furchtbar betroffen, wie es soweit kommen konnte. Wobei, es gibt inzwischen Browser-Addons, die sowas machen (googelt mal Certificate Patrol). Immerhin. Aber eigentlich will man das im Browser selbst implementiert haben, finde ich.
Update: Es gibt da übrigens ein allgemeines Certificate Pinning, aber da muss die Webseite aktiv mitmachen und (in meinen Augen sinnlos) redundante Informationen im HTTP-Header übertragen.
GET / HTTP/1.1Das ist ein HTTP-Request. Die Antwort sieht dann so aus:
Host: www.server.com:80
HTTP/1.1 OKDas Problem ist jetzt, dass das idealisierte Beispiele waren. Tatsächlich sehen Requests nämlich so aus:huhu
GET / HTTP/1.1Und Antworten sehen so aus:
Host: www.cnn.com:80
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:36.0) Gecko/20100101 Firefox/36.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate DNT: 1 Cookie: token=kiMLX8/1ni34+wrDrAfx7XDDNjSLJhzIXFL27VY2SwM= Connection: keep-alive
HTTP/1.1 200 OK x-servedByHost: prd-10-60-165-21.nodes.56m.dmtio.net Cache-Control: max-age=2592000 Content-Type: text/html Via: 1.1 varnish Content-Length: 11502 Accept-Ranges: bytes Date: Mon, 09 Mar 2015 16:37:46 GMT Via: 1.1 varnish Age: 702161 Connection: keep-alive X-Served-By: cache-iad2130-IAD, cache-lax1421-LAX X-Cache: HIT, HIT X-Cache-Hits: 1414, 5 X-Timer: S1425919066.634699,VS0,VE0 Vary: Accept-Encoding [… der HTML-Inhalt …]Praktisch alles davon ist überflüssig. Sowohl auf Client-, als auch auf Serverseite. Ein Teil davon ist dem Standard geschuldet (wieso muss der Server bitte das Datum mitschicken?!), aber der Großteil ist einfach Bloat von Clients und Servern. Alleine schon der User-Agent ist eine Größenordnung zu groß. Der Accept-Header ist ein typischer Fall von Feature Creep, war mal gut gemeint, hat aber so dermaßen auf ganzer Linie verkackt, dass da jetzt "*/*" als "akzeptierter MIME-Type" drin steht. Damit wird natürlich die Intention des Headers völlig unterwandert und man könnte ihn auch eigentlich komplett weglassen. Ähnlich sieht es mit Accept-Languages aus. Das war mal dafür gedacht, dass der Browser sagt "mein Benutzer spricht Deutsch, kann aber auch Englisch", und die Webseite gibt dann ihre deutschsprachige Version heraus. Das benutzen tatsächlich einige Webseiten. So gefühlt 3 oder 4. Hätte man sich also auch sparen können. Accept-Encoding sagt, dass der Browser auch gzip und deflate kann. Das hätte man schlicht als Default in den Standard schreiben können, dann würde man sich das sparen, dass alle Browser das mitschicken. DNT ist der Do-Not-Track-Header. "Liebe Werbetreibenden, bitte missbraucht meine Daten nicht!1!!" Ja nee, klar. Die Cookies sind im Verantwortungsbereich des Webseitenbetreibers, da kann der Browser nichts für. Der Connection-Header hier ist auch für den Fuß, weil keep-alive bei HTTP/1.1 Standard ist. Aber sicherheitshalber, falls der Server nur 1.0 kann, schicken wir es nochmal mit. Ihr seht schon, das ist ein verkrusteter Haufen fossiler Brennelemente.
Schlimmer noch sieht es auf der Serverseite aus. Da sind die Hälfte der Header direkt für die Tonne und kommen auch offenbar gar nicht vom Webserver sondern von dem Varnish-Cache davor. So nützlich wie ein Hirntumor!
So und jetzt schauen wur uns das mal zusammen an und überlegen uns eine Strategie. KLAR! Die Cookies sind das Problem!1!! Also war die Lösung der Webseiten-Optimierer-Spezialexperten, dass sie die 100 Milliarden Inline-Bilder auf eine separate Domain ausgliedern. Dann werden bei den Requests an die keine Cookies der Hauptdomain übertragen. WAS MAN DA FÜR EINEN TRAFFIC SPART!!1! Leider handelt man sich auch einen zusätzlichen DNS Round Trip ein. Aber hey, das sieht man in Benchmarks nicht so, weil das eh schon im Cache ist!1!!
Kurzum: HTTP/1.0 hat Probleme in der Praxis. Beachtet aber das "Connection: keep-alive". Das heißt, dass der Server die Verbindung nach diesem Request offen hält. Der Client kann dann den nächsten Request absetzen. Das entsorgt direkt das wichtigste Argument für HTTP/2, das mit dem "wir wollen aber nur ein Handshake am Anfang der Verbindung haben, weil das so teuer ist".
Also haben die HTTP/2-Apologeten argumentiert, naja gut, das Handshake ist nicht das Problem, sondern die Latenz pro Antwort ist das Problem. Um das zu illustrieren, muss man ein bisschen malen. Ich mache das mal in ASCII Art, mit ??? für den Request und === für die Antwort.
??? ???So stellt man sich eine typische HTTP-Verbindung vor. So ist das auch — im LAN. Über das Internet gibt es Latenzen zwischen ??? und ===. Die male ich jetzt mal als |||.
=== ===
??? ???Ihr seht, diese Latenzen dominieren schnell. Daher gibt es in HTTP/1.1 ein Verfahren namens Pipelining. Das sieht dann so aus:
||| ||| ||| |||
=== ===
?????????Die Latenz ist nicht weg, aber sie ist viel weniger schlimm. Leider implementieren das einige wenige Webserver nicht. Und um diese Webserver im Geschäft zu halten, schalten die Browser Pipelining aus. Nein, wirklich! Geht mal in Firefox auf about:config und sucht nach network.http.pipelining.
|||||||||||||||
=========
Weil das der zentrale argumentative Dreh- und Angelpunkt der HTTP/2-Apologeten ist, will ich jetzt mal einen Trick mit euch teilen.
Der Grund, wieso einige Webserver Pipelining nicht können, ist, dass deren Haupt-Schleife so aussieht:
Solange TCP-Verbindung besteht:Bei Pipelinig kommen jetzt mehrere Requests in einem Stück Daten rein. Der Server hat die Logik nicht, um hinter dem 1. Request nach weiteren zu gucken. Aber man kann auch mit so einem Server Pipelining machen. Ich habe das vor vielen Jahren mal für einen Usenet-Downloader implementiert, und später für SMB, bei HTTP geht das genau so. Man schickt den nächsten HTTP-Requests nicht, nachdem das letzte Byte der Antwort des vorigen angekommen ist, sondern nachdem das erste Byte der Antwort des vorigen angekommen ist.
Lese Daten
Wenn die Daten ein HTTP-Request sind, beantworte ihn
Das lohnt sich leider erst, wenn die Downloadgrößen deutlich größer als die Request-Größen sind. Daher ändere ich mal die Symbolik ein bisschen in der ASCII-Art. Vorher:
??? ???Was die Grafik euch sagen will: Der zweite Request kommt beim Server an, während der noch den ersten beantwortet. So kann man das machen. Warum das bei HTTP keine Option war? Weil inzwischen bei einigen Sites für einige Requests die Header größer als die Inhalte sind.
vvv ^^^ vvv
===============
Meine Einstellung dazu ist: Einfach immer Pipelining vorschreiben und anschalten, und wer das nicht implementiert, der kann halt nicht mitspielen. Ich hab das am Anfang in gatling auch nicht implementiert gehabt, weil es eh keiner benutzt hat. Diese Art von Verhalten geht überhaupt nur, weil die Browser einen damit durchkommen lassen. Das sollten sie nicht.
Hat HTTP/2 denn jetzt überhaupt keine Vorteile? Doch. Zwei. Erstens haben sie sich ein Verfahren überlegt, um Header zu komprimieren. Ich habe mir davon die Details noch nicht angeguckt. Ich sah bisher nur Negatives darüber, aber das will ja nichts heißen. Zweitens schreiben sie für den TLS-Teil TLS 1.2 vor.
Merkt ihr was?
Wir könnten auch einfach HTTP/1.1 nehmen, Pipelining und TLS 1.2 vorschreiben, und wir hätten so gut wie alle Vorteile von HTTP/2 ohne die Nachteile.
Welche Nachteile? Nun, HTTP/2 macht Multiplexing. Multiplexing heißt, dass sie mehr als eine virtuelle Verbindung über eine TCP-Verbindung fahren. Das ist eine ganz beschissene Idee.
Stellt euch mal Youtube vor. Sobald er das Video überträgt, ist die Multiplex-Verbindung ausgelastet und die Kommentare kommen nie. Außer der Server hat Logik, um faires Scheduling zu implementieren. Ja ganz groß!
Geht noch weiter. Stellt euch mal vor, der Server hat fair scheduling implementiert. Ist immer noch Scheiße. Denn einige Elemente einer Webseite können andere Elemente referenzieren, Inline-Bilder, Skripte, was auch immer. HTML und CSS sollten daher zuerst übertragen werden, auch damit der Browser schonmal das Layout machen kann, und dann später die Bilder reinlädt. Jetzt muss der Server also schon intelligentes Scheduling implementieren. Am besten mit Content Sniffing. Denn das wird die nächste Anforderung sein, dass der Server das HTML/CSS parsed und die Dateien schonmal öffnet und reinlädt, die der Browser gleich haben wollen wird.
Aber nein, da haben die HTTP/2-Leute eine noch bessere Idee gehabt. Sie sehen vor, dass der Browser dem Server sagt, was mit welcher Priorität kommen soll.
Ihr sehr schon: Alleine um Probleme zu lösen, die wir vorher nicht hatten, treiben wir hier ungefähr so viel Aufwand, wie wir vorher für den ganzen Webserver getrieben haben.
Daher glaube ich, dass HTTP/2 ein Schuss in den Ofen ist.
Aber wartet. Einen habe ich noch. Nehmen wir mal an, wir haben Paketverlust auf der Leitung. Bei HTTP/1 bleibt dann eine Verbindung stehen. Eine von sechs oder wieviel auch immer der Browser aufgemacht hat. Bei HTTP/2 bleibt dann alles stehen, weil alles über die eine Verbindung ging. JA SUPER!
Erwähnte ich, dass HTTP/2 mit dem Header-Wildwuchs nicht aufgeräumt hat? Dafür gibt es ja jetzt Kompression. Hier ist die Spec dazu.
Leider haben die auch ansonsten im Protokolldesign und der Spec einmal großflächig alles verkackt, was man so verkacken kann. Klickt euch mal in diesem Mailinglistenarchiv nur durch die Postings von Bob Briscoe der letzten Tage. Übrigens ist auch der Autor von varnish nicht begeistert von HTTP/2.
Nun, äh, ja, das ist die Idee :-)
Der Bug ist von 2013.
Update: Sie shippen nur eine Sandbox für das Binärzeug, nicht das Binärzeug selber.
Aus meiner Sicht hat dieser Heugabel-Mob für die LGBT-Community mehr kaputtgemacht als zehn Brendan Eichs es je gekonnt hätten.
Vielleicht ist das eine Mentalitätsfrage, aber man will doch die Leute inhaltlich überzeugen und nicht mit der Furcht vor solchen Übergriffen als Drohung zum Duckmäusern bringen. Also würde ich zumindest wollen. Sobald man anfängt, den Gegenüber so zu entmenschlichen, und auch noch öffentlich, begibt man sich auf ganz dünnes Eis.
Sehr beachtlich ist auch die Fülle an Euphemismen und Weasel Words, mit dem sie zu vermeiden suchen, das Werbung-Einblenden als Werbung-Einblenden zu bezeichnen. Die erste Hälfte des Artikels ist reines Abwehr-Füllwort-Bingo, damit keiner bis zu der Stelle durchhält, wo dann die Werbung erwähnt wird.
Das fängt auf der einen Seite alle mögliche Werbung, Webwanzen und andere Schweinereien, aber es bricht auch diverse schlecht gemachte Sites.
So hat es sich z.B. eingebürgert, seine statischen Bilder auf einer zweiten Domain abzulegen. yahoo.com legt seine Bilder z.B. auf yimg.com ab. Die Idee dahinter ist, dass die dynamischen Frameworks von yahoo.com ein Dutzend Cookies setzen, und die würden dann alle bei jedem HTTP-Request mitübertragen, auch für die eingeblendeten Bilder, für die sie gar keine Rolle spielen und nur Platz verplempern.
An sich ist das keine doofe Idee, aber der richtige Ansatz dafür wäre natürlich, dass man die Cookies für www.example.com setzt und die statischen Inhalte auf s.example.com tut, und http://example.com ist dann eine Umleitung auf www.example.com. Aber da kommen dann halt Leute und sagen, naja, yimg.com ist ja ein Zeichen kürzer als yahoo.com, das spart auch!1!! Ja, tut es, aber dafür schafft es zusätzliche Latenzen, weil yimg.com separat im DNS nachgeguckt werden muss und dafür auch der Nameserver von yimg.com separat herausgefunden werden muss.
Ich glaube ja, dass die meisten dieser "Web-Optimierer" die ganzen Details gar nicht überblicken und da Cargo Cult betreiben. Aber hey. Whatever.
Dieses RequestPolicy hat natürlich ein paar negative Aspekte in der Usability. Eine Sache, die z.B. ziemlich sofort zu nerven beginnt, ist dass HTTP-Redirects dann auch opt-in sind. Man muss explizit [Allow] klicken. Und viele Dienste leiten externe Links inzwischen über Tracking-URLs mit Redirect. Z.B. die Google-Suche. Auch dafür gibt es Addons, aber so generell macht das für die Twitter-Generation wahrscheinlich auch das Browse-Erlebnis mit URL-Shortenern kaputt. Das würde ich wiederum eher als Vorteil sehen, das ist eine Unsitte und shortened natürlich auch nichts, weil unter dem Strich mehr Traffic verursacht wird und die Latenz hochgeht.
Ich würde mal vermuten, dass das auch eingebettete Videos kaputtmacht, wenn die woanders gehostet werden.
Ciscos Hack ist, dass sie jetzt einen H.264-Codec als Plugin verschenken, ordentlich lizenziert. Das darf sich dann jeder installieren und damit H.264 abspielen, ohne dass Lizenzgebühren fällig werden.
Sieht erstmal elegant aus, aber ist in vielerlei Hinsicht ein Desaster. Erstens haben wir uns damit erpressen lassen. Damit hat das System "Lizenzgebühren für internationale Standards" gewonnen. Soweit hätte es nie kommen dürfen, aber jetzt ist klar: Der Widerstand dagegen ist gescheitert.
Zweitens heißt das, dass man jetzt für H.264 das Cisco-Modul verwenden muss, dann muss man keine Lizenzgebühren zahlen. Wer wäre unter diesen Umständen so doof, ein anderes Modul zu nehmen? Niemand. Wenn sich dieses System einbürgert, dann haben wir alle verloren, weil für die nächste Iteration von Standard nicht mehr ein Konkurrenzkampf an Implementationen die Qualität hochtreiben wird, sondern es wird genau einen Binärblob von Cisco gehen.
Damit sind wir beim dritten Problem. Was, wenn da ein Bug drin ist? Ein Sicherheitsloch? Eine Hintertür? Damit wäre dann die ganze Welt davon abhängig, dass Cisco den Kram wartet. Und um Cisco ranken sich seit mindestens 20 Jahren Gerüchte, dass sie im Gegenzug für Exporterlaubnisse Hintertüren für die US-Regierung eingebaut hätten. Dieser H.264-Blob wäre quasi das perfekte Einfallstor für die NSA. Die NSA wäre doof, da nicht sofort aufzuspringen.
Oh und nehmen wir mal an, das wird jetzt der große Erfolg, nach dem es aussieht. Wieso würde das dann beim nächsten Codec nicht genau einen Lizenznehmer geben? Wer sich unter diesen Umständen noch eine Lizenz von denen kauft, ist doch doof! Das muss sich auch die MPEG-Mafia gerade durch den Kopf gehen lassen. Und die einzige Antwort ist, diese Klausel rauszunehmen für die nächsten Codecs.
Ich persönlich halte es daher jetzt für noch wichtiger als bisher, H.264 loszuwerden, und hoffe auf Daala.
Der Typ hinter Ogg Vorbis und Daala sieht das übrigens ziemlich ähnlich.
./jscntxtinlines.h:495:33: warning: '*((void*)& mava +16)' may be used uninitialized in this function [-Wmaybe-uninitialized]Ich habe in meiner langen Laufbahn als C-Programmierer und Distro-Bauer, der ständig anderer Leute Code kompiliert, noch nie eine Fehlermeldung gesehen, die so deutlich wie diese macht, dass für diesen Code wegschmeißen noch zu gnadenvoll ist. Was zur Hölle! Wenn man schon Code wie diesen schreibt (und dafür gibt es VERDAMMT wenig valide Ausreden), dann achtet man doch bitte darauf, dass der bloß keine Warnungen wirft, damit bloß niemand sieht, was für Grotten-Code man da ausliefert!
/tmp/mozilla-release/js/src/jsapi.cpp:5685:27: note: '*((void*)& mava +16)' was declared here
/tmp/mozilla-release/js/src/jsapi.cpp:157:9: warning: '*((void*)& mava +12)' may be used uninitialized in this function [-Wmaybe-uninitialized]
/tmp/mozilla-release/js/src/jsapi.cpp:5685:27: note: '*((void*)& mava +12)' was declared here
Die Lösung war, dass der Kumpel in seinem Browser ein Binnen-I-Entfernplugin installiert hat, und der hat aus netinet/in.h flugs ein netinet.h gemacht.
Der Kumpel verteidigt sich damit, dass er Indymedia lesen wollte, ohne "Hornhautablösung" zu erleiden.
Money Quote:
so weit hat uns der feminismus schon getrieben, dass die exploits nicht mehr compilen!*schenkelklopf*
Update: Falls jemand nicht weiß, was ein Binnen-I-Entfernplugin ist: sowas hier. In diesem konkreten Fall war es wohl der Safari-Port davon, "Binnen-X".
Update: Hahaha jetzt kommt ein anderer Kumpel und meint, er versteht den Blogeintrag nicht, weil da steht "hat aus netinet.h flugs ein netinet.h gemacht" — der hatte auch ein Binnen-I-Plugin installiert. Vielleicht sollte ich ein Inline-Bild nehmen. Ich hab mal das / escaped, hoffentlich überlebt das jetzt eure Plugins. Zitat:
ich bin seitdem deutlich ausgeglichener und lese auch texte die ich sonst wegklicke nach dem ersten rumgegendere.
Soll noch mal jemand sagen, mit Technologie könne man keine sozialen Probleme lösen!
Daher sage ich mal voraus: ein paar Geeks werden daran arbeiten, das so zu machen. Im Großen und Ganzen ist das bloß ein weiteres Argument für HTML5 und gegen Flash. Flash ist ja eh am Sterben. Good Riddance.
Google hat ihr Logo zensiert und linkt hierauf. Die englische Wikipedia hat auch zugemacht. SOPA ist ja schon zu den Akten gelegt, aber das würde ich mal als Nebelkerze werten. Seit Schäuble diese unsägliche Testballonstrategie eingeführt hat, machen die ganzen Repressionsregimes auf der ganzen Welt das so. Kommen mit immer unerträglicheren Knebelgesetzen, und wenn es zu viel Widerstand gibt, dann wird es "auf Eis gelegt" und nächsten Monat unter anderem Namen nochmal versucht, und wenn das auch nicht klappt, dann macht man es halt über die EU oder irgendein internationales Abkommen.
Update: Die Reaktionen auf den Wikipedia-Blackout sind durchaus unterhaltsam.
Update: Oh da sind ja richtig viele Sites zensiert heute. Auch fark, reddit, imgur, die mozilla foundation, techcrunch, boingboing, wordpress.com, und sehr schön finde ich auch den Ansatz von xda-developers, die da Protest-Unterschriften sammeln und nach 50000 wieder online gehen wollen. 41k haben sie schon. EFF und die FSF sind natürlich auch am Start.
Twitter macht zwar nicht mit, aber das trending topic ist gerade #IfTheyShutDownTwitter. Die Bevölkerung hat das also schon mitgekriegt.
Haben sie am Ende doch gemacht. Jetzt kommen dazu spannende Details heraus, und zwar soll Microsoft ein Gegenangebot gemacht haben an Mozilla, damit die Bing als Default-Suchmaschine einbauen, und das soll so hoch gewesen sein, dass Google jetzt dreimal so viel an Mozilla zahlt wie letztes Mal. Bwahahaha, also Wirtschaftskrieg will man gegen Microsoft echt nicht führen müssen, die wissen schon was sie da tun.
Und es stellt sich raus, so ein Trojaner, der kostet richtig Geld! Genug für eine Meldung im Amtsblatt.
Wenn also z.B. das LKA Baden-Württemberg bei Digitask kauft, oder das LKA Bayern, oder das Zollkriminalamt, dann steht sowas im Amtsblatt der EU. Das Zollkriminalamt hat da noch mehrfach nachgelegt.
Überhaupt, wenn man mal Google nach Digitask-Aufträgen im Amtsblatt fragt, das sieht aus wie dass man da mal einen Tag oder so investieren sollte. Viel Spaß!
Achtet übrigens auf Felder wie "Anzahl Angebote", da steht üblicherweise "1". Oh und selektiert wird natürlich immer nach dem günstigsten Preis.
Update: Mir fällt gerade auf, dass wahrscheinlich einige die Ironie hier gar nicht zu würdigen wissen. Dieses Amtsblatt gibt es ja zur Korruptionsbekämpfung. Und wisst ihr, wer 2002 wegen Bestechung rechtskräftig verurteilt wurde? Kommt ihr NIE drauf! (Danke, Martin)
Eine von Mozilla veröffentlichte Anleitung, die beschreibt, wie man das Root-Zertifikat von Hand aus Firefox löscht, hat sich unterdessen als wirkungslos herausgestellt. Tests in der Redaktion ergaben, dass DigiNotar dadurch zwar zunächst aus der Liste der vertrauenswürdigen Herausgeber verschwindet. Wenn man das Einstellungsfenster erneut öffnet, ist jedoch wieder alles beim alten.BWAHAHAHAHAHA
Update: Da hat wohl Heise was verkackt: Das soll so.
Because the certificate is "built-in" it will be distrusted but not deleted. Distrusting the certificate has the same effect as deleting it.
(Danke, Mathias)
Update: Im Statement von Comodo heißt es, der Angriff kam aus dem Iran. Ich glaube ja nicht, dass die Amis sich da schlauer angestellt hätten, aber die hätten Comodo halt dazu bringen können, die Klappe zu halten. Usertrust scheint übrigens ein Label von Comodo zu sein, also kein externer Reseller. Jedenfalls legt deren Webseite das nahe.
<img src="logo.svg">und alles wird gut, aber weit gefehlt! Stellt sich raus, dass Chrome das kann, Firefox aber nicht. Firefox erwartet ein object-Tag. Was für ein Hirnriss!
Aber das ist noch nicht alles. Stellt sich raus, dass Safari SVG kann (ist ja auch Webkit wie Chrome, damit war zu rechnen), aber NICHT auf dem Iphone oder Ipad. WTF?! Gerade das Ipad haben sie doch als Browser-Device verkauft!
An der Safari-Version kann man es nicht festmachen. Die Plattformstrings werden schnell unübersichtlich, es gibt da auch noch irgendein webtv-Zeugs, kenn ich alles nicht. Also ist da jetzt eine Javascript-Browsererkennung drin. Wie furchtbar ist DAS denn alles?! Ich dachte, die Zeiten seien vorbei im Web?
Also aus meiner Sicht: Schande über Apple und Firefox.
Und zur Krönung des Tages kommt hier auch noch einer an, der benutzt Epiphany mit Webkit, und das gibt sich als Safari unter Linux aus. Das bau ich da jetzt nicht ein. Was für ein Müll dieses Web doch ist.
Oh und bei Firefox ist offenbar das UI für das audio-Tag kaputt und man kann da nicht die Lautstärke regeln. Na suuuuuper. Bin ich wirklich der erste, der das Audio-Tag benutzt?! Ist das echt noch keinem aufgefallen?!?
I propose that the "RSA Security 1024 V3" root certificate authority beDas ist so völlig unglaublich, da fehlen mir die Worte. Der CA Store ist die Liste der Krypto-Zertifikate, denen wir vertrauen, andere Webseiten zu zertifizieren. Jemand, der da ein Zertifikat reinkriegt, kann sich in den Traffic von anderer Leute SSL-Seiten reinhängen und sich als die ausgeben. Und jetzt findet Mozilla, dass sie nicht wissen, wessen Cert das ist?!? OMFG!!!
removed from NSS.OU = RSA Security 1024 V3
O = RSA Security Inc
Valid From: 2/22/01
Valid To: 2/22/26
SHA1 Fingerprint:
3C:BB:5D:E0:FC:D6:39:7C:05:88:E5:66:97:BD:46:2A:BD:F9:5C:76I have not been able to find the current owner of this root. Both RSA
and VeriSign have stated in email that they do not own this root.
Neulich erst gab es die Story, dass eine Firma Appliances verkauft, die (für die Polizei, natürlich!1!!) sich genau so in SSL-Verbindungen reinklemmen. Ihr erinnert euch vielleicht auch daran, dass Mozilla groß herumdebattiert hat, ob sie die CA der Chinesischen Regierung da reinnehmen sollen. Und jetzt das!
Oh und wisst ihr, was man dagegen tun könnte? Das hier.
Update: angeblich ist das von Paypal. (Danke, Jan)
Update: Die sind auch in den Root-Zertifikaten von OS X, mailt mir gerade jemand.
Update: Und angeblich sind die auch bei Windows im Certificate Store.
Mal gucken, was die dazu sagen. Das wäre sozusagen das SSH-Sicherheitsmodell. Wir haben sowas ähnliches im Moment bei self-signed certs, dass er sich das Zertifikat merkt und später nicht mehr rumheult, wenn das gleiche Cert wieder kommt. Nur wenn dann jemand MITM mit einem Cert von Verisign macht später, dann kriege ich das nicht mit, dass das nicht mehr das self-signed cert ist, dem ich mal vertraut habe.
Und das schockierende: vor mir hat das offenbar noch keiner gemerkt. Ich bin anscheinend der einzige, der Firefox aus den Sourcen kompiliert und dann auch Bugs filed, wenn was nicht klappt.
Übrigens: kann ich noch nicht empfehlen. Erstens ist der Javascript JIT offenbar nur für x86, nicht für x64-64, und zweitens gehen natürlich mal wieder die ganzen Add-Ons nicht mehr.
One particular bug that has appeared exists not in Mozilla, but in IPv6-capable DNS servers: an IPv4 address may be returned when an IPv6 address is requested. It is possible for Mozilla to recover from this misinformation, but a significant delay is introduced.Under certain versions of OS X, this bug is compounded by another bug wherein the OS still makes IPv6 DNS requests even if IPv6 support is disabled. A significant delay is introduced in all connections requiring DNS lookups while the OS and the DNS server exchange unnecessary (or redundant) queries and responses to resolve the address.
Kann man sich gar nicht ausdenken, sowas.
Warum bloggst Du?
Es fing als Linksammlung für den jährlich auf dem CCC Congress stattfindenden Fnord Jahresrückblick an. Über Blogger habe ich mich ja jahrelang lustig gemacht, vor allem auch weil sie alle so schlechte PHP/Perl/Python/Java/Whatever Knödelsoftware einsetzen, und sich da lauter New Age Dinge wie Trackback, Kommentarfunktion und XMLRPC ausdenken, um dann prompt für die damit einhergehenden Probleme neue Lösungen brauchen — eine veritable Arbeitsplatzbeschafftungsmaschine! Und so war klar, daß ich eine eigene Blogsoftware brauchen würde, in C geschrieben, mit tinyldap als Backend, und sei es nur um zu zeigen, daß das geht. :-)
Seit wann bloggst Du?
Seit dem 31. März 2005. Die 1. Meldung war, daß malaysische Autodiebe den Finger mitgeklaut haben, um an der Biometrie vorbei zu kommen.
Selbstportrait
(etwas älteres Bild)
Warum lesen Deine Leser Dein Blog?
Gute Frage. Ich habe das mal rauszufinden versucht vor einer Weile, und da schrieben mir mehrere Leute, daß sie mein Blog als Nachrichtenquelle nutzen.
Welche war die letzte Suchanfrage, über die jemand auf Deine Seite kam?
blog bei google.de (kraß, wa?)
Welcher Deiner Blogeinträge bekam zu Unrecht zu wenig Aufmerksamkeit?
Mhh, könnte ich jetzt keine konkrete nennen.
Dein aktuelles Lieblingsblog?
Das des ehemaligen Nachrichtenmagazins aus Hamburg. Oh, nur Blogs ohne Werbeeinblendungen? Na gut, dann Holgi und Susanne.
Welches Blog hast Du zuletzt gelesen
Metafilter.
Wie viele Feeds hast Du gerade im Moment abonniert?
Keine. Ich lese Blogs im Webbrowser. RSS kostet mich mehr Zeit als es einzusparen versprochen hatte.
An welche vier Blogs wirfst Du das Stöckchen weiter und warum?
Ich bewerfe doch keine harmlosen Blogs mit Stöckern!1!! Nee, das propagiert sich schon von alleine weiter.