Wischofon des tages

Habt ihr ein wischofon? Und benutzt ihr da auch manchmal den webbrauser? Dann wisst ihr ja sicher schon, dass jede dahergelaufene webseit und jedes von irgendwelchen (vielleicht sogar kriminellen) hanseln bezahlte und dort eingebettete stück scheißreklame einfach und völlig ohne euch zu fragen die sensoren eures wischofones auslesen kann [link geht auch einen englischsprachigen text].

Wenn du guhgell mäpps in deinem wischofonbrauser benutzt, bekommst du ein kleines dialogfenster, das sagt „diese webseit will deinen aufenthaltsort wissen“, und du kannst das erlauben oder nicht […] Aber wenns um bewegungssensoren, lichtsensoren oder näherungssensoren geht, gibt es keinen mechanismus, um den anwender darauf hinzuweisen und ihn um erlaubnis zu bitten, so dass einfach unsichtbar für den anwender zugegriffen wird

Na und, ist doch nicht schlimm? Doch:

Die forscher weisen darauf hin, dass auf einer schädlichen webseit solche informazjonen für verschiedene angriffe benutzt werden könnten [… so ließen sich etwa] bewegungssensor-daten als eine art keylogger nutzen, um etwas wie eine PIN abzuleiten

Dank auch an das W3C (besetzt mit allen nach scheiße stinkenden scheiß-datensammler- und scheiß-überwachungsklitschen dieser welt), dass so etwas zum standard erhoben wird. Wenn man bei den wischofon-brausern wenigstens wie in richtigen brausern problemlos javascript abschalten könnte, um sich vor solchen vergewohltätigungen in den besuchten webseits zu schützen! Aber nein, das ist nicht vorgesehen. Schließlich sind das ja wanzen, also sollen sie auch lauschen.

Auch weiterhin ganz viel spaß und orwellness mit euren scheißwischofonen! Alle reden von faschistischen überwachungsstaat. Ihr macht ihn!

Meikrosoft des tages

Die neunziger jahre klopfen mal kurz an. Windohs zehn sagt seinen anwendern, wenn sich sich einen krohm oder einen feierfox installieren wollen, dass sie doch schon einen ganz hervorragenden webbrauser von meikrosoft haben, den sie bitte nutzen sollen, weil der schneller und sicherer ist. Aber hej, keine panik, die warnung gibts nur in der testversjon. Und an allerlei reklame und irreführung um das und aus dem spämmbetrübssystem windohs zehn habt ihr euch ja schon längst gewöhnt. Mal schauen, wie lange ihr in dieser überwachungs- und gängelscheiße von meikrosoft noch die softwäjhr installieren könnt, die ihr auf eurem kompjuter benutzen möchtet…

via @benediktg5@twitter.com

Krohm-addon des tages

Nehmt die addons aus guhgells krohm-store haben sie gesagt. Die sind sicherer, haben sie gesagt.

Wer die Erweiterung des Filehosters Mega für Chrome nutzt, sollte sie zügig deinstallieren. Unbekannte haben die Erweiterung verändert und in eine Art Keylogger verwandelt. Der soll Ausschau nach Zugangsdaten für Amazon-, Github-, Google- und Microsoft-Accounts halten und die eingesammelten Daten an die Hacker senden. Darüber hinaus sollen noch private Schlüssel für Kryptowährungen im Visier der Malware sein. Damit ausgerüstet, könnten Angreifer beispielsweise Bitcoin-Wallets plündern […] Die Version 3.39.5 sei sauber, ist derzeit aber nicht im Chrome Web Store verfügbar

Warum man keinen webbrauser von ausgerechnet guhgell nimmt

Allerdings haben Anbieter wie Google bereits Wege gefunden, wie sie ihr Tracking trotz Cookie-Sperren weiterführen können

Wenn die größte überwachungs- und träckingklitsche der welt (mit firmensitz in einem mörderischen, kriegerischen und von geheimen morddiensten geprägten überwachungsstaat) einen webbrauser rausbringt, ist das ein produkt, von dem man die finger lässt, wenn man sein gehirn nicht nur als füllmasse im schädel hat.

Security des tages

Wenn der meikrosoft-webbrauser mediendateien (zum beispiel musik) nachlädt, kann dies als seitenkanal für den zugriff auf beliebige für den edge-brauser zugängliche informazjonen benutzt werden:

It’s kinda pathetic how excited I got about this, but this is a huge bug. It means you could visit my site in Edge, and I could read your emails, I could read your Facebook feed, all without you knowing

Aber einen brauser von meikrosoft benutzt man sowieso nur einmal, um sich einen richtigen webbrauser runterzuladen. Wer etwas englisch lesen kann, kann in der verlinkten seite ein weiteres beispiel dafür sehen, wie man bei meikrosoft damit umgeht, wenn jemand ein schweres sicherheitsproblem in der softwäjhr meldet. Für alle, die nicht gut englisch lesen können, hier meine zusammenfassung: kalt und abschreckend.

Übrigens: ein nachwaxender security-forscher, der die kommentarfunkzjon seiner webseit mit disqus macht, ist nicht nur hochnotlächerlich, sondern hat auch schon einmal die daten von 17,5 milljonen nutzern „veröffentlicht“.

Kompjuternutzung wird immer einfacher!!!1!!1!

Android macht das Ausfüllen von Formularen, etwa Konto- und Kreditkartenformularen, mit der Einführung des Autofill-Frameworks einfacher. Dieses Framework verwaltet die Kommunikation zwischen der App und einem Dienst zum automatischen Ausfüllen […] Forscher haben zwei verschiedene Scripts ausgemacht (…), die darauf ausgerichtet sind, identifizierbare Informationen aus browserbasierten Passwortmanagern auszulesen. Die Scripts verrichten ihr Werk, indem sie unsichtbare Anmeldeformulare im Hintergrund der Website einfügen und alles, was die Browser automatisch eintragen, aufschaufeln

Falls jemand noch einen grund braucht, um nicht jeder dahergelaufenen webseit javascript zu erlauben. Zurzeit wird das „nur“ für träcking benutzt, aber demnächst wird es wohl auch von verbrechern geschaltete reklame geben, die login-daten für paypal, amazon, ihh-bäh und so weiter ausspäht — nebst kontoinformazjonen und den zugang zu fratzenbuch, zwitscherchen, spämmedin für betrugs- und spämmzwecke.

Security des tages

Benutzt hier jemand unter meikrosoft windohs guhgells krohm als webbrauser?

(Übrigens: anders als heise schreibt, braucht da nix ausgeführt zu werden und wird da wohl auch nix ausgeführt. Der explorer öffnet irgendwann den daunlohd-ordner, in dem sich die .scf-datei befindet. Darin kann unter anderem ein piktogramm angegeben sein, das für diese datei dargestellt wird. Wenn dieses piktogramm sich auf einem SMB-server befindet, dann versucht der angegriffene rechner, sich über NTLM zu authentifizieren, um das piktogramm abzuholen. So kommt der angreifer an die gehäschten zugangsdaten — und hat schon einmal einen fuß für weitere angriffe in der tür. Das ist nicht wirklich ein krohm-problem, sondern eine ernsthafte schwäche von windohs. Krohms rolle beim angriff besteht einzig darin, dass so eine datei ohne jede rückfrage ins daunlohd-verzeichnis gestopft werden kann. Aber hej, wer SMB nicht im router nach außen blockiert, hat sie eh nicht mehr alle! Und wer ausgerechnet einen brauser von datenkrake und weltüberwacher guhgell benutzt, sollte sich besser ein anderes hobby als das internetz zulegen. Briefmarkensammeln zum beispiel. Dabei kann nix schiimmes passieren, auch wenn man sehr dumm ist. Ich frage mich jedenfalls bei jeder schwäche in krohm, ob die vielleicht doch beabsichtigt ist.)

Kennt ihr den schon?

Der opera-brauser für ändräut ist voll datensparsam, antiträcking, privatsfäre und so mit seinem eingebauten adblocker… und transportiert selbst träckende ads in der äpp. 😳

Überall, wohin man nur schaut: angebote für die generazjon jamba auf dem weg in die idiocracy.

Bildschirmfoto via unixstickers@twitter.com, hinweis via @benediktg5@twitter.com.

Meikrosoft windohs des tages

Windows 10 S ähnelt im Ansatz dem gescheiterten Windows RT. Auf der neuen Windows-Version laufen nur Apps aus dem Microsoft Store. Darüber hinaus können Nutzer den Standardbrowser nicht ohne weiteres ändern, Microsofts Edge-Browser ist demnach vorgegeben […] Auch die Suchmaschine ist vorgegeben: Microsofts Bing. In Windows 10 S ist keine Funktion vorgesehen, etwa Google als Standardsuchmaschine zu bestimmen

Ich wünsche auch weiterhin viel spaß beim gegängelt- und enteignetwerden. Ihr habt selbst damit angefangen, aktiv geld für kompjuter auszugeben, auf denen euch die freiheit genommen wurde, die softwäjhr laufen zu lassen, die ihr auf dem kompjuter laufen lassen wolltet, und jetzt kriegt ihr den salat. Nee, ihr da hinten auf den weg in die idiocracy, was ihr da erlebt, das ist nicht das ende, das ist erst der anfang. Noch fünf jahre, die ihr euch wie eine horde vollidjoten alles andrehen lasst, und dann sieht auch das „normale“ windohs so aus! Und ihr nehmt es, fresst scheiße und sagt „es gibt doch nix anderes“. Dummheit ist nun einmal der rohstoff der zukunft.

Schadsoftwäjhr des tages

Ich habe in diesen ganzen jahren, in denen ich immer wieder einmal die zerschossenen kompjuter anderer menschen vor mir hatte, noch nicht einmal erlebt, dass sich jemand diese so genannte „ask-tuhlbar“ bewusst und freiwillig installiert hat. Sie wurde immer mit irgendwelchen installazjonsprogrammen von irgendwelchen halbseidenen und grenzkriminellen kompjuterzeitschriften wie „chip“ als kwasitrojaner untergeschoben, wenn man sich zu hastig durch eine installazjon klickte. (Der scheißjornalist ist nun einmal dein feind, begreif das endlich!) Und bis jetzt war jeder darüber froh, wenn ich die wieder weggemacht habe. Es handelt sich bei dieser beschissenen, mit irgendwelchen überrumpelungstaktiken installierten drextuhlbar um nix anderes als um eine verdammte schadsoftwäjhr. Und das war schon immer so.

Von daher finde ich es folgerichtig, dass über diesen meist von scheißjornalisten installierten scheißtrojaner weitere schadsoftwäjhr verteilt wird. Angesichts des niederträchtigen, nach scheiße stinkenden geschäftsmodelles von „ask“ glaube ich nicht einmal an irgendwelche „häcker“, sondern an vorsatz. Schade ist es nur, dass die scheißjornalisten, die den leuten so eine scheiße in ihre webbrauser gekackt haben, nicht für derartige folgen haftbar gemacht werden können.

Webbrauser des tages

Gehört hier jemand zu den 500 milljonen menschen, die als webbrauser den UC browser für wischofone benutzen? Der hat einen interessanten fehler. Man kann einfach in der adresszeile die URI einer beliebigen anderen seite anzeigen lassen. Und das HTML, das man dafür tippen muss, ist auch nicht so schwer zu tippen — nein, für den exploit braucht man ausnahmsweise einmal kein javascript.

Ein paradies für phisher!

Also, wenn jemand das ding benutzt: holt euch eine gefixte versjon… und wenn es die noch nicht gibt, benutzt so lange einen anderen webbrauser!

Javascript des tages

Weshalb man nicht jeder dahergelaufenden webseit standardmäßig das privileg gibt, kohd im webbrauser ausführen zu können, sondern sich ein addon installiert, um dieses privileg bewusst an bestimmte webseits vergeben zu können¹? Golem hat die heutige javascript-horrorgeschichte:

Ein wichtiger Mechanismus zum Schutz vor Exploits auf modernen Systemen lässt sich mittels Javascript umgehen. Einem Forscherteam des Instituts VUSec an der Vrije Universiteit Amsterdam ist es gelungen, mittels einer Cache-Timing-Attacke Informationen über das Speicherlayout in Browsern auszulesen. Damit schützt die Speicherrandomisierung (ASLR, Address Space Layout Randomization) nicht mehr effektiv vor Exploits

Weia! 😦

Natürlich gibts noch keinen exploit dafür, aber der kommt. Ist es nicht toll, dass die aktuellen versjonen vom feierfox und von guhgells-krohm-wanze zeitmessungen mit mikrosekunden-genauigkeit in javascript ermöglichen? Für alle, die so etwas schnell überlesen: das sind milljonstel sekunden. Wofür das gut sein soll? Na, für solche angriffe zum beispiel. Welche webseit das jemals brauchen wird? Egal, rein mit der überflüssigen funkzjon, irgendeine anwendung wird sich dafür schon finden. Der trend geht ja eindeutig dahin, den brauser als laufzeitumgebung für anwendungen zu betrachten, und dem trend wird blind und blöde nachgehetzt.

Und jetzt alle dem onkel IT-jornalisten nachsprechen, der ganz enttäuscht ist, dass er auf seinem zur tieferen kompromittierung zugesteckten äppelkram kein fläsch hat: „Fläsch ist pöse und unsicher, javascript und HTML5 sind die zukunft und viel sicherer“! So ists brav. Und jetze daran glauben! Ganz ganz fest daran glauben! Und immer schön über paranoide typen wie mich lachen, weil die so lächerlich sind! Idjoten!

Und jetzt zur scheiß-alpenprawda — von idjoten auch „süddeutsche zeitung“ genannt — rübergehen, die man ohne javascript gar nicht mehr lesen kann. Damit ihr von eurem feind, dem scheißjornalisten, lernt, dass es ohne javascript nun einmal nicht geht. Die gesamte organisierte kriminalität freut sich über euch, ihr dummgemachten. Oh, ist eure festplatte verschlüsselt und ihr braucht bitcoin, um wieder an eure daten zu kommen? Bedankt euch bei denen, die euch dumm machen und dumm halten! Und vergesst nicht, euren adblocker abzuschalten, damit eure feinde für die dienstleistung, euch dumm zu machen und dumm zu halten auch noch reibach über die scheißreklame absahnen!

via @tux@pod.geraspora.de

¹Normale menschen nehmen am einfachsten noscript. Wer keine probleme mit einem sehr fein steuerbaren addon hat, das aber einen gewissen aufwand bedeutet, sollte sich unbedingt mal umatrix anschauen.

Äppel des tages

Ob gelöscht oder nicht: Apple hat Browserverläufe jahrelang in der Cloud gespeichert

Immer schön vor irgendwelchen unternehmen aus dem überwachungs- und folterstaat USA datennackt machen, ihr idjoten! Übrigens hat äppel das problem „gelöst“ und kann jetzt immerhin nicht mehr von außen dabei erwischt werden, wenn es über jahre hinweg mit einer als webbrauser getarnten überwachungswanze zu jedem nutzer einen vollständigen und personalisierten bericht seiner interessen, ängste, wünsche, hoffnungen, fragen, kommunikazjonsakte und p’litischen auffassungen speichert.

Erich Mielke wäre so stolz auf euch gewesen, ihr tinnefkaufenden und euch frei fühlenden vollidjoten, die ihr so leicht auf onkel reklameheini und auf seinen hässlichen, korrupten bruder, den scheißjornalisten, reinfallt!

Brauseraddon des tages

Automatisch bilder von Donald Trump gegen katzenbilder austauschen. Das gleiche würde ich mir allerdings auch für jeden anderen p’litiker wünschen, insbesondere auch für die viel weiter in mein dasein hineinragende bundesselbsthilfegruppe auf der regierungsbank im reichstag, die ebenfalls deutlich scheußlicher als katzen ist. Noch besser und vor allem billiger wäre es freilich — außer vielleicht für mäuse und singvögel — wenn man die p’litiker einfach durch katzen austauschte. :mrgreen:

Guhgell des tages

Kennt ihr adnauseam? Das ist ein adblocker, der die ads nicht nur einfach blockt, sondern außerdem einen klick auf die ads simuliert, so dass volle werbekosten für die so geklickten ads anfallen. Das dingens basiert auf ublock origin (und ist damit ähnlich zuverlässig), ist aber nicht passives blockieren, sondern der versuch aktiver gegenwehr.

Nun, guhgell hat das addon mit leicht fadenscheiniger begründung aus dem addon-dingens für sein webbrausersurrogatextrakt krohm rausgekickt und krohm-anwender sabotiert, die adnauseam benutzen. [Link geht auf einen englischen text.]

Wisst ja, „don’t be evil“, da wird man doch mal etwas wegzensieren dürfen, wenns das eigene geschäftsmodell — guhgell ist die größte reklameschleuder des internet — ein bisschen beeinträchtigen könnte. Ich wünsche euch auch weiterhin viel spaß mit einem brauser von einer klitsche, die davon lebt, dass ihr wehrlos und datennackt vor ihr steht! Wo es alternativen zum scheiß-krohm gibt, kriegt ihr hoffentlich selbst raus.

Danke an B. G. für den hinweis

Webbrauser-schadsoftwäjhr des tages

Benutzt hier jemand in seinem webbrauser das addon „stylish“? Das ist eine überwachende schadsoftwäjhr geworden.

Laut seinem Blog-Eintrag suchte Hindman monatelang nach einem Partner mit Ressourcen, um das volle Potenzial des Add-Ons ausschöpfen zu können. Gerade die „Sichtweite“ im Bereich der Nutzerdaten und damit das Ranking der „meistbesuchten Seiten in jedem Land“ sei für Stylish eine wichtige Bereicherung, um die passenden Stile anbieten zu können

Danke auch! Vor meinem arsch ist auch kein gitter! 😈