Wahlauswertungssoftwäjhr des tages

Dem CCC ist es nach eigenen Angaben gelungen auch das am 13. September bereitgestellte Sicherheits-Update der Wahl-Auswertungssoftware „PC-Wahl“ erfolgreich anzugreifen und zu trojanisieren

Ich gehe davon aus, dass das bei den sicherheitsfunkzjonen derartiger spezjalexperten keine besonders schwierige kopfnuss war. Nett, dass gleich ein direkt verwendbarer fix für die probleme mitgeliefert wurde: einfach kryptografische standardmetoden aus Freien biblioteken verwenden, und schon ist die softwäjhr zur verarbeitung von wahlergebnissen in der BRD sicher vor der trojanifizierung über ihren aktualsierungsmechanismus (wenn man nicht trotzdem noch etwas verpatzt, was bei diesen in bananistan staatlich subvenzjonierten und gewiss sorgfältig hohlraumversiegelten spezjalexperten von „vote IT“ wohl eine sichere wette ist).

Übrigens: diese ganzen sinn- und wirkungslosen nachbesserungen durch offenbar völlig security-unerfahrene programmierer werden mit steuergeldern bezahlt, und zwar vermutlich alles andere als preiswert. Auch das bummsamt für sicherheit in der informazjonstechnik, dass den schnell zusammengefrickelten bullschitt immer wieder abnimmt, wird mit steuergeldern bezahlt. Im gegensatz zum CCC, der eine kostenlose lösung liefert. Auch weiterhin viel spaß mit der security-kompetenz in der bummsverwaltung!

Und morgen im p’litischen teater: cyber, cyber, die pösen russen greifen unsere wahlen an! Da die geldverbrennung für pseudosichere wahlsoftwäjhr kein jornalistisches tema ist, werden die menschen die lüge fressen.

Advertisements

Security des tages

Benutzt hier jemand einen „apache“ als websörver?

Nach einigen Mails an das Apache-Security-Team konnte das Rätsel gelöst werden: Es handelte sich um einen Use-After-Free-Bug beim Zusammenstellen der Liste von unterstützten Methoden

Anders, als golem es suggeriert, ist es keineswegs eine ungewöhnliche konstellazjon, dass jemand in einer .htaccess <Limit> oder <LimitExcept> setzt. Es ist heutzutage nur ein wenig seltener geworden, weil ein zeitgemäßes CMS seine eigene rechteverwaltung und zugriffsbeschränkung mitbringt und deshalb nicht auf metodenbeschränkung durch den websörver zurückgegriffen wird — etwa für einen POST mit einem neuen artikel im administrationsbereich. Aber das heißt noch lange nicht, dass keine altlasten auf sörvern herumliegen, und es heißt auch nicht, dass auf geteilten sörvern nicht mal jemand eine etwas esoterische oder alte softwäjhr benutzt, um sich nicht mit den nebenwirkungen der heutigen moppelseuche herumschlagen zu müssen. Oder noch häufiger: dass jemand einfach fragmente aus einer .htaccess aus dem web kopiert, ohne diese zeilen überhaupt zu verstehen und für seinen bedarf zu bereinigen. Von daher: druff mit dem pflaster, so bald es verfügbar ist! Nur ein behobener fehler ist ein guter fehler. Und wenn ich von einem „use after free“ im kern vom „apache“ lese, befürchte ich, dass es demnächst noch ein paar pätsches mehr gibt.

Hinfort mit dem freien internetz!

Es ist höchste zeit, das W3C zu forken. Deutscher text bei der iX.

Übrigens: wenn es statt der DRM-kackscheiße einen wirksamen adblocker fest im brauserkern gäbe, würde das einen großteil der gegenwärtigen internetzkriminalität vernichten und vielen menschen viel ärger, viel datenverlust und so manchen finanzjellen schaden ersparen. Aber daran hat — außer vielleicht einigen milljarden nutzern der großen webbrauser — niemand interesse. Schon gar nicht beim W3C, diesem herrschaftsinstrument der digitalen gutsherren.