Security des tages

Der MD5-häsch des installazjonszeitpunktes ist ein ziemlich schlechter schlüssel für eine wördpress-erweiterung, vor allem, wenn damit über SQL-injekzjon das pwnen des blogs möglich ist.

Hej, leute: schreiben eure websörver keine logdateien? Wisst ihr nicht, dass es freie und bewährte progrämmchen gibt, um logdateien auszuwerten? Wozu braucht ihr solche stat-dinger in einem fetten und damit anfälligen blogsystem, die nicht nur das dingens unsicher machen können, sondern außerdem auch noch die last auf der MySQL-datenbank erhöhen?

Ach!

Keine daten gestohlen

„Gemalto“ im schönsten PR-ton so: wir haben jetzt, nachdem es da so ein paar dokumentchen von so einem herrn Snowden gab, mal schnell nachgeschaut, und schon nach wenigen stunden war uns klar: es wurden keine daten bei uns gestohlen, die waren alle noch da. Und weitere erklärungen geben wir nicht mehr ab. :mrgreen:

Na ja, und dass es eigentlich darum ging, dass die schlüssel beim transport zu den netzbetreibern abgegriffen wurden, das soll über eine derartige PResseerklärung halt vergessen werden. Wie man daten kryptografisch beim transport sichert, scheint dort keine so wichtige kenntnis gewesen zu sein. Und sollten die schlüssel irgendwann „freiwillig“ an die NSA übergeben worden sein, wurde ja auch nix geklaut… und hej, leute, schön weiterschlafen, die klitsche — sorry: der weltmarktführer in digitaler sicherheit (auf seite zwei, und hier zur sicherheit eine lokal gespeicherte versjon) — stellt ja sonst auch eher unwichtiges zeugs her. Eure „elektronische gesundheitskarte“ zum beispiel, an der irgendwann einmal eine komplette digitale krankenakte hängen wird, die weit in die privatsfäre reinragt. Darauf werden die ganz sicher genau so viel mühe und kompetenz verwenden wie auf die kärtchen, die geld bewegen.

Die wissen schließlich, wie man „vertrauen“ aufbaut: indem man technischen analfabeten mit p’litik- und mänätschment-hintergrund die wohlklingende PR-scheiße in den rachen stößt.

Und kriegt da nichts ins falsche ohr, leute, so sehr die jornallje auch versucht, euch dumm zu halten!

Bei der mitnahme der schlüssel geht es nicht um überwachung. Diese lässt sich nämlich mit deutlich weniger aufwand bewerkstelligen, so ein IMSI-catcher ist billig und wird bei polizeilichen bedarf massenhaft eingesetzt. (So weit ich weiß, aber das ist nicht der neueste stand, sondern wissen von vor zehn jahren, sind die richtfunkstrecken der mobilfunkproweider sowieso unverschlüsselt und damit ebenfalls mühelos durch hineinhalten eines drahtes und eine kleine schaltung unbemerkt abhörbar.) Es ging nur darum, SIM-karten nachmachen zu können, also bei einem telefonproweider mit fremder identität in den logdateien aufzuscheinen und damit daten zu erzeugen. Oder anders gesagt: es geht bei diesem kriminellen unterfangen der horch- und morddienste der USA ausschließlich um das systematische fälschen von beweismitteln. Es gibt keine andere sinnvoll erscheinende anwendung dafür. Hier handelt es sich um staatskriminalität, dazu begangen und nur dazu begangen, beliebigen menschen bei bedarf beliebige dinge anhängen zu können.

Unbuntu des tages

Einige freunde von ubuntu, die die 14.04-LTS-versjon verwenden, werden eventuell nach den heutigen aktualisierungen feststellen, dass der gimp keine textlayer mehr erzeugen kann. Das problem scheint nicht jeden zu betreffen, ich habe es nur in 64-bit-versjonen gesehen.

Da es vom gimp kein neues binary gibt, tippe ich auf ein problem mit der frischen libfreetype6:amd64 3.13.0-46.75.

Na ja, immerhin buhtet der frisch ausgelieferte kernel…

Ein paar unsortierte nachträge:

Das problem tritt nicht bei jedem auf. Es scheint auch nur die 64-bit-versjon zu betreffen. Ebenfalls nicht betroffen zu sein scheint ubuntu 14.10 in seinen diversen geschmacksrichtungen.

Ein verdachtsfall, den ich hatte, war die aktuelle gimp-versjon von ppa:otto-kesselgulasch/gimp. Ich habe auf einem arbeitsrechner unter ubuntu 14.04 den PPA ausgetragen und die von ubuntu offizjell ausgelieferte gimp-versjon 2.8.10 installiert. Mit dieser tritt des problem ebenfalls auf. Texte in neu angelegten text-ebenen sind völlig zerschossen. Wenn man ein schon bestehendes bild mit einer text-ebene lädt, gibt es aber keine probleme, und es können sogar problemlos wie gewohnt neue text-ebenen hinzugefügt werden. Verrückterweise funkzjoniert es danach manchmal sogar in neu angelegten bildern… sieht nach einem echten scheißfehler aus, der sich nicht einmal sicher reproduzieren lässt.

Ich kann im moment immer noch nicht sicher sagen, woran das liegt und muss meine kleinen nachforschungen durch strokelei in der scheiße leider einstellen, aber wer derartige probleme gar nicht gebrauchen kann, sollte die heutige aktualisierung lieber ein paar tage verschieben, bis das fehlerchen behoben ist. Zum glück ist gimp so wichtig, dass ein schneller fix zu erwarten ist. 😉

Strieming und geistiges eigentum des tages

Wieviel von den zehn øre, die man für einen monat musikstriehming bei spottifein abdrücken soll — vollständiges träcking des eigenen musikkonsums und die unterminierung der netzneutralität durch die scheiß-deutschen-telekomiker inbegriffen — kommen eigentlich bei den musikern an, und wo geht der rest des geldes hin. Lest es einfach selbst und dann macht einfach etwas anderes mit eurem geld, als die geistige enteignung durch rechteverwerter und künstliche internetz-zentralisierer damit zu mästen!

Prüderie des tages

Wer bei guhgells blogger (punkt) com bloggt, darf dort keine bilder nackter menschen mehr bringen, sonst wird durchgelöscht (oder bei alten nutzern: unsichtbar gemacht). Na ja, fast keine nackten menschen:

Nacktheit ist nur erlaubt, „wenn der Inhalt der Öffentlichkeit einen wesentlichen Nutzen bietet“

Nun, ich finde ja, dass ein paar ansprechende wixvorlagen sehr vielen menschen einen „wesentlichen nutzen“ bieten, vor allem unter den bedingungen von samenschwäche, vermehrungsdrang und greisengeilheit… :mrgreen:

Weils mir grade so juckt:

Die Vorabendserie zeigt Totschlag und Mord,
Das stört heute niemanden mehr.
Verurteilt wird’s nicht, wenn man killt im Akkord,
Verurteilt wird nur der Verkehr.
Wir sind noch viel schlimmer
als Mord und Gewalt,
Denn wir machen euch lieber heiß anstatt kalt

„Cloud“ des tages

Ich gratuliere der deutschen bank zu ihrer entscheidung, ihren gesamten datenbestand einer US-amerikanischen und damit im rechtsfreien raum des „patriot act“ agierenden unternehmung zu geben. Unbestätigten gerüchten zufolge hat man das knallen der sektkorken beim NSA noch in novosibirsk hören können…

Wer dort zufällg kunde ist, sollte das besser ändern.