Ändräut des tages

Wisst ja, ein voll jetzt echt mal wichtige und einfacher schutz vor schadsoftwäjhr auf euren telefonen ists, wenn ihr nur über guhgell pläjh installiert… ähm:

Die Sicherheitsfirma Lookout hat eine neue Malware-Familie für Android entdeckt, deren Code in mehr als 4.000 verschiedenen Apps enthalten ist […] waren einige der Apps zeitweise auch bei Google Play zu finden

Auch weiterhin viel spaß mit euren wischofonen und der kultur, die da eingerissen ist.

Advertisements

Wahre worte eines contentindustriellen

Wen von uns Schreibern interessierte es in der Print-Epoche wirklich, wie viele Leserinnen und Leser einen Zeitungsartikel lasen? Wen von uns interessierte es, ob sie bis zum letzten Satz dranblieben – oder schon nach dem Lead absprangen? Wen hatte es zu kümmern, ob die Leser zufrieden sind und sich kompetent informiert fühlten nach der Lektüre eines Beitrages? Ich würde mal sagen: niemanden. So lange die Auflage hoch war, so lange die Inserate-Einnahmen flossen, war das alles egal

„Freie softwäjhr ist sicher“ des tages

Im Open-Source-Datenbankserver PostgreSQL klaffen drei Sicherheitslücken […] Eine der Lücken kann missbraucht werden, um sich ohne Angabe eines Passworts am Server anzumelden und Zugriff auf Datenbanken zu bekommen. Der Fehler fußt in einem Bug in der C-Bibliothek libpq, die leere Passwörter ignoriert und so behandelt, als sei kein Passwort gesetzt […] Zwei weitere Lücken in der Software ermöglichen es Nutzern unter bestimmten Umständen, Zugriff auf die Passwörter anderer Nutzer zu bekommen und in Datenobjekte zu schreiben, auf die sie eigentlich keinen Zugriff haben sollten

Also los, holt euch die neue versjon, wenn ihr postgresql im einsatz habt! Klar, bei heise im sommermodus hat mal wieder ein praktikant geschrieben, der gar nicht richtig klar gemacht hat, was das für ein fehler ist und wie man den ausnutzen kann. (Das problem liegt darin, dass die besagte libpq sich um die autentifikazjon kümmert, und dabei auch den sonderfall „kein passwort“ abfängt, nicht der datenbanksörver. Wenn man kohd hat, der diese bibliotek nicht benutzt, sondern direkt mit dem datenbanksörver kommuniziert, und wenn ein benutzer auf inaktiv gesetzt wurde, indem sein passwort auf NULL gesetzt wurde, dann tritt der fehler auf. Ich würde mich niemals darauf verlassen, auf der sicheren seite zu sein, weil meine anwendungen die bibliotek benutzen. Wenn ein angreifer über eine andere schwachstelle in irgendeiner anwendung kohd ausführen kann, ist er eventuell ganz schnell DBA.

Die frage, was für ein kraut die entwickler geraucht haben müssen, um eine autentifizierungsschwäche in einer bibliotek zu umgehen, statt sie im sörver zu fixen, müsst ihr den entwicklern stellen.

Fahrrad des tages

Würde man den statistischen Ansatz der Polizei übrigens für das Automobil abbilden, müsste man sagen, dass Kraftfahrzeuge 98% aller Verkehrsunfälle verursachen, an denen Sie beteiligt sind. Nur wird man diese Zahl nie in polizeilichen Meldungen oder den Medien finden. Die Gefährlichkeit des Automobils scheint einfach gesellschaftlich akzeptiert zu sein. Die einseitige mediale Darstellung hat zur Folge, dass der Radverkehr in den Kommentaren unter Medienbeiträgen mit Fahrradbezug als Rowdytum dargestellt wird. Selbst unter Zeitungsartikeln mit tödlich verunglückten Radfahrenden gibt es negative Kommentare von den Lesern

via @benediktg@gnusocial.de

Dumme idee des tages

Wenn die vereinigten staaten eines teils von nordamerika, diese werdende idiocracy unter der führung von Donald Trump, jetzt einen kleinen wirtschaftskrieg gegen die „volxrepublik“ china haben wollen, werden sie in weniger als einem jahr bemerken, dass nicht der schwanz mit dem hunde wedelt, sondern umgekehrt…