Security des tages

Benutzt hier jemand unter meikrosoft windohs guhgells krohm als webbrauser?

(Übrigens: anders als heise schreibt, braucht da nix ausgeführt zu werden und wird da wohl auch nix ausgeführt. Der explorer öffnet irgendwann den daunlohd-ordner, in dem sich die .scf-datei befindet. Darin kann unter anderem ein piktogramm angegeben sein, das für diese datei dargestellt wird. Wenn dieses piktogramm sich auf einem SMB-server befindet, dann versucht der angegriffene rechner, sich über NTLM zu authentifizieren, um das piktogramm abzuholen. So kommt der angreifer an die gehäschten zugangsdaten — und hat schon einmal einen fuß für weitere angriffe in der tür. Das ist nicht wirklich ein krohm-problem, sondern eine ernsthafte schwäche von windohs. Krohms rolle beim angriff besteht einzig darin, dass so eine datei ohne jede rückfrage ins daunlohd-verzeichnis gestopft werden kann. Aber hej, wer SMB nicht im router nach außen blockiert, hat sie eh nicht mehr alle! Und wer ausgerechnet einen brauser von datenkrake und weltüberwacher guhgell benutzt, sollte sich besser ein anderes hobby als das internetz zulegen. Briefmarkensammeln zum beispiel. Dabei kann nix schiimmes passieren, auch wenn man sehr dumm ist. Ich frage mich jedenfalls bei jeder schwäche in krohm, ob die vielleicht doch beabsichtigt ist.)

Advertisements

Kennt ihr den schon?

Der opera-brauser für ändräut ist voll datensparsam, antiträcking, privatsfäre und so mit seinem eingebauten adblocker… und transportiert selbst träckende ads in der äpp. 😳

Überall, wohin man nur schaut: angebote für die generazjon jamba auf dem weg in die idiocracy.

Bildschirmfoto via unixstickers@twitter.com, hinweis via @benediktg5@twitter.com.

Meikrosoft windohs des tages

Windows 10 S ähnelt im Ansatz dem gescheiterten Windows RT. Auf der neuen Windows-Version laufen nur Apps aus dem Microsoft Store. Darüber hinaus können Nutzer den Standardbrowser nicht ohne weiteres ändern, Microsofts Edge-Browser ist demnach vorgegeben […] Auch die Suchmaschine ist vorgegeben: Microsofts Bing. In Windows 10 S ist keine Funktion vorgesehen, etwa Google als Standardsuchmaschine zu bestimmen

Ich wünsche auch weiterhin viel spaß beim gegängelt- und enteignetwerden. Ihr habt selbst damit angefangen, aktiv geld für kompjuter auszugeben, auf denen euch die freiheit genommen wurde, die softwäjhr laufen zu lassen, die ihr auf dem kompjuter laufen lassen wolltet, und jetzt kriegt ihr den salat. Nee, ihr da hinten auf den weg in die idiocracy, was ihr da erlebt, das ist nicht das ende, das ist erst der anfang. Noch fünf jahre, die ihr euch wie eine horde vollidjoten alles andrehen lasst, und dann sieht auch das „normale“ windohs so aus! Und ihr nehmt es, fresst scheiße und sagt „es gibt doch nix anderes“. Dummheit ist nun einmal der rohstoff der zukunft.

Schadsoftwäjhr des tages

Ich habe in diesen ganzen jahren, in denen ich immer wieder einmal die zerschossenen kompjuter anderer menschen vor mir hatte, noch nicht einmal erlebt, dass sich jemand diese so genannte „ask-tuhlbar“ bewusst und freiwillig installiert hat. Sie wurde immer mit irgendwelchen installazjonsprogrammen von irgendwelchen halbseidenen und grenzkriminellen kompjuterzeitschriften wie „chip“ als kwasitrojaner untergeschoben, wenn man sich zu hastig durch eine installazjon klickte. (Der scheißjornalist ist nun einmal dein feind, begreif das endlich!) Und bis jetzt war jeder darüber froh, wenn ich die wieder weggemacht habe. Es handelt sich bei dieser beschissenen, mit irgendwelchen überrumpelungstaktiken installierten drextuhlbar um nix anderes als um eine verdammte schadsoftwäjhr. Und das war schon immer so.

Von daher finde ich es folgerichtig, dass über diesen meist von scheißjornalisten installierten scheißtrojaner weitere schadsoftwäjhr verteilt wird. Angesichts des niederträchtigen, nach scheiße stinkenden geschäftsmodelles von „ask“ glaube ich nicht einmal an irgendwelche „häcker“, sondern an vorsatz. Schade ist es nur, dass die scheißjornalisten, die den leuten so eine scheiße in ihre webbrauser gekackt haben, nicht für derartige folgen haftbar gemacht werden können.

Webbrauser des tages

Gehört hier jemand zu den 500 milljonen menschen, die als webbrauser den UC browser für wischofone benutzen? Der hat einen interessanten fehler. Man kann einfach in der adresszeile die URI einer beliebigen anderen seite anzeigen lassen. Und das HTML, das man dafür tippen muss, ist auch nicht so schwer zu tippen — nein, für den exploit braucht man ausnahmsweise einmal kein javascript.

Ein paradies für phisher!

Also, wenn jemand das ding benutzt: holt euch eine gefixte versjon… und wenn es die noch nicht gibt, benutzt so lange einen anderen webbrauser!

Javascript des tages

Weshalb man nicht jeder dahergelaufenden webseit standardmäßig das privileg gibt, kohd im webbrauser ausführen zu können, sondern sich ein addon installiert, um dieses privileg bewusst an bestimmte webseits vergeben zu können¹? Golem hat die heutige javascript-horrorgeschichte:

Ein wichtiger Mechanismus zum Schutz vor Exploits auf modernen Systemen lässt sich mittels Javascript umgehen. Einem Forscherteam des Instituts VUSec an der Vrije Universiteit Amsterdam ist es gelungen, mittels einer Cache-Timing-Attacke Informationen über das Speicherlayout in Browsern auszulesen. Damit schützt die Speicherrandomisierung (ASLR, Address Space Layout Randomization) nicht mehr effektiv vor Exploits

Weia! 😦

Natürlich gibts noch keinen exploit dafür, aber der kommt. Ist es nicht toll, dass die aktuellen versjonen vom feierfox und von guhgells-krohm-wanze zeitmessungen mit mikrosekunden-genauigkeit in javascript ermöglichen? Für alle, die so etwas schnell überlesen: das sind milljonstel sekunden. Wofür das gut sein soll? Na, für solche angriffe zum beispiel. Welche webseit das jemals brauchen wird? Egal, rein mit der überflüssigen funkzjon, irgendeine anwendung wird sich dafür schon finden. Der trend geht ja eindeutig dahin, den brauser als laufzeitumgebung für anwendungen zu betrachten, und dem trend wird blind und blöde nachgehetzt.

Und jetzt alle dem onkel IT-jornalisten nachsprechen, der ganz enttäuscht ist, dass er auf seinem zur tieferen kompromittierung zugesteckten äppelkram kein fläsch hat: „Fläsch ist pöse und unsicher, javascript und HTML5 sind die zukunft und viel sicherer“! So ists brav. Und jetze daran glauben! Ganz ganz fest daran glauben! Und immer schön über paranoide typen wie mich lachen, weil die so lächerlich sind! Idjoten!

Und jetzt zur scheiß-alpenprawda — von idjoten auch „süddeutsche zeitung“ genannt — rübergehen, die man ohne javascript gar nicht mehr lesen kann. Damit ihr von eurem feind, dem scheißjornalisten, lernt, dass es ohne javascript nun einmal nicht geht. Die gesamte organisierte kriminalität freut sich über euch, ihr dummgemachten. Oh, ist eure festplatte verschlüsselt und ihr braucht bitcoin, um wieder an eure daten zu kommen? Bedankt euch bei denen, die euch dumm machen und dumm halten! Und vergesst nicht, euren adblocker abzuschalten, damit eure feinde für die dienstleistung, euch dumm zu machen und dumm zu halten auch noch reibach über die scheißreklame absahnen!

via @tux@pod.geraspora.de

¹Normale menschen nehmen am einfachsten noscript. Wer keine probleme mit einem sehr fein steuerbaren addon hat, das aber einen gewissen aufwand bedeutet, sollte sich unbedingt mal umatrix anschauen.

Äppel des tages

Ob gelöscht oder nicht: Apple hat Browserverläufe jahrelang in der Cloud gespeichert

Immer schön vor irgendwelchen unternehmen aus dem überwachungs- und folterstaat USA datennackt machen, ihr idjoten! Übrigens hat äppel das problem „gelöst“ und kann jetzt immerhin nicht mehr von außen dabei erwischt werden, wenn es über jahre hinweg mit einer als webbrauser getarnten überwachungswanze zu jedem nutzer einen vollständigen und personalisierten bericht seiner interessen, ängste, wünsche, hoffnungen, fragen, kommunikazjonsakte und p’litischen auffassungen speichert.

Erich Mielke wäre so stolz auf euch gewesen, ihr tinnefkaufenden und euch frei fühlenden vollidjoten, die ihr so leicht auf onkel reklameheini und auf seinen hässlichen, korrupten bruder, den scheißjornalisten, reinfallt!

Brauseraddon des tages

Automatisch bilder von Donald Trump gegen katzenbilder austauschen. Das gleiche würde ich mir allerdings auch für jeden anderen p’litiker wünschen, insbesondere auch für die viel weiter in mein dasein hineinragende bundesselbsthilfegruppe auf der regierungsbank im reichstag, die ebenfalls deutlich scheußlicher als katzen ist. Noch besser und vor allem billiger wäre es freilich — außer vielleicht für mäuse und singvögel — wenn man die p’litiker einfach durch katzen austauschte. :mrgreen:

Guhgell des tages

Kennt ihr adnauseam? Das ist ein adblocker, der die ads nicht nur einfach blockt, sondern außerdem einen klick auf die ads simuliert, so dass volle werbekosten für die so geklickten ads anfallen. Das dingens basiert auf ublock origin (und ist damit ähnlich zuverlässig), ist aber nicht passives blockieren, sondern der versuch aktiver gegenwehr.

Nun, guhgell hat das addon mit leicht fadenscheiniger begründung aus dem addon-dingens für sein webbrausersurrogatextrakt krohm rausgekickt und krohm-anwender sabotiert, die adnauseam benutzen. [Link geht auf einen englischen text.]

Wisst ja, „don’t be evil“, da wird man doch mal etwas wegzensieren dürfen, wenns das eigene geschäftsmodell — guhgell ist die größte reklameschleuder des internet — ein bisschen beeinträchtigen könnte. Ich wünsche euch auch weiterhin viel spaß mit einem brauser von einer klitsche, die davon lebt, dass ihr wehrlos und datennackt vor ihr steht! Wo es alternativen zum scheiß-krohm gibt, kriegt ihr hoffentlich selbst raus.

Danke an B. G. für den hinweis

Webbrauser-schadsoftwäjhr des tages

Benutzt hier jemand in seinem webbrauser das addon „stylish“? Das ist eine überwachende schadsoftwäjhr geworden.

Laut seinem Blog-Eintrag suchte Hindman monatelang nach einem Partner mit Ressourcen, um das volle Potenzial des Add-Ons ausschöpfen zu können. Gerade die „Sichtweite“ im Bereich der Nutzerdaten und damit das Ranking der „meistbesuchten Seiten in jedem Land“ sei für Stylish eine wichtige Bereicherung, um die passenden Stile anbieten zu können

Danke auch! Vor meinem arsch ist auch kein gitter! 😈

Worauf haben wir denn alle sehnsuchtsvoll gewartet?

Richtig, auf eine vom W3C ausgearbeitete bluetooth-API für das „web of things“.

But at first: it will enable a web browser to contact the user’s connected devices such as smartphones, kettles, toasters, TVs, thermostats, heart rate monitors, and so on. Imagine a world where every web site can connect to devices near you – or on you

Natürlich handelt es sich um eine weitere von guhgell ersonnene träcking- und datenschnochelschnittstelle im webbrauser, die eine persönliche identifikazjon ermöglicht, kombiniert mit informazjonen direkt aus der privatsfäre (neben bewegungsträcking jetzt endlich auch mit puls, blutzuckerspiegel und zubereitetem essen). Und weil man das eben zu schnell überlesen hat: im webbrauser!

Na ja, spätestens wenn ein werbebanner von einer pressewebseit, die das abschalten des adblockers erzwingt, den herzschrittmacher umprogrammiert… 😦

Und überhaupt: gerade bereitet guhgell vor, seinen eigenen brauser viel viel „sicherer“ zu machen:mrgreen:

Danke, B.G., für den hinweis

Träcking des tages

Benutzt hier noch jemand „proxtube“, um juhtjuhbb ohne GEMA-zensurtafeln zu sehen? Nun, erstens braucht ihr das nicht mehr für musik mit schlechter klangkwalität, seit sich die GEMA mit juhtjuhbb geeinigt hat, und zweitens handelt es sich bei dem in der BRD so beliebten und immer noch massenhaft installierten addon um eine schadsoftwäjhr, nämlich einen träcking-trojaner. Aus raus mit dem müll aus dem brauser!

Ein dank auch an die scheiß-GEMA, im schatten derer tätlichkeit so eine scheiße groß werden konnte!

Ich bin ja immer wieder gelangweilt…

Ich bin ja immer wieder gelangweilt, wenn die kwalitäts- und kwantitätsjornalisten aus der karl-wiechert-allee die neuesten PResseerklärungen von opera abschreiben und ihren lesern als jornalismus in die augen reiben. Kann mir bitte einfach jemand bescheid sagen, wenn der opera-brauser endlich wieder den funkzjonsumfang von opera 12.x erreicht hat? Dann wird er nämlich wieder interessant für mich…

Und nein, heise onlein, ihr da vom ehemaligen fachverlach: ein proxy/tunnel ist kein VPN! Wenigstens die peinlicheren fehler aus der PResseerklärung könnt ihr mal korrigieren, bevor ihr solche schleichwerbung (mutmaßlich bezahlt) euren lesern zumutet!

(Dass der olle opera-brauser ohne von außen erkennbare not zur krüppelsoftwäjhr gemacht wurde, war einer der schlimmsten tiefschläge in meinem internetz-leben. Und es geht nicht nur mir so. Solche reklameversuche machen es nicht besser.)

Fratzenbuch des tages

Durch neue Timing-Attacken können Website-Besucher teilweise deanonymisiert werden, sofern sie parallel bei Facebook eingeloggt sind. Der Website-Betreiber kann über geschickte Anfragen an Facebook das Geschlecht, das Alter und den Wohnort des Users ermitteln

Auch weiterhin viel spaß mit javascript. Und mit S/M-seits, die euch „zielgruppengerechten content“ nach den herzenswünschen der scheißwerber überall hinmachen, nachdem sie sich wie eine riesengroße technik-STASI in euer leben gedrängelt haben. Und natürlich mit euren webbrausern, die dafür programmiert werden, eine „anwendung im brauser“ zu ermöglichen, als ob man keine richtigen anwendungen mehr machen könnte:

Der Exploit funktioniert aktuell nur in Chrome und Firefox. Edge und Safari haben die dazu notwendigen Browser-APIs (noch) nicht implementiert

Wer keine cookies von dritten nimmt, ist ebenfalls auf der sicheren seite. Warum das keine standardeinstellung ist? Fragt mal die feierfox-progger! Immerhin, das könnt ihr noch so einstellen, wie ihr es haben wollt. In den feierfox-einstellungen unter „datenschutz“ in „chronik“ den punkt „firefox wird eine chronik nach benutzerdefinierten einstellungen anlegen“ auswählen, dort „cookies von drittanbietern akzeptieren“ auf „nie“ setzen. (Ich mache das immer. Und ich frage mich immer, warum zum hackenden henker ich das machen muss. Ist schon scheiße, wenn so ein brauserprojekt von irgendwelchen reklameklitschen mit großem träckingbedarf finanziert wird. Von guhgells nach scheiße stinkendem krohm-brauser erwarte ich ja nix besseres als die weitgehende datennacktheit seiner nutzer, ganz so, wie guhgell das gerne hat. Aber der feierfox könnte sich ja ruhig mal darum bemühen, gewisse minimalstandards der privatsfäre zum standard für alle nutzer zu machen. Ist aber nicht. Wäre halt schlecht fürs „geschäftsmodell“ der asozjalen, die davon leben, dass erwünschte inhalte um völlig unerwünschte, träckende und widerwärtige reklame „angereichert“ wird. Bäh!)

TLS des tages

So gelang es unter anderem einem Sicherheitsforscher, ein gültiges Zertifikat für die GitHub-Domain zu erhalten

Ich wünsche euch auch weiterhin viel spaß dabei, euch sicher zu fühlen, weil euer brauser ganz bekwem mit einem schlösschen anzeigt, dass es eine gesicherte verbindung ist! Da könnt ihr dann ganz beruhigt softwäjhr saugen, geschäfte machen, kommunizieren und so weiter.

Dieses ganze TLS-dingens ist sowas von kaputt, dass es erbärmlich geworden ist. Irgendwelche CAs zahlen an die brauserhersteller geld dafür, dass ihnen von den großen brausern standardmäßig vertraut wird — und dann machen die meisten noch ein riesiges geschäft damit, für ein paar wertvolle banknoten skripte zu starten, um zertifikate zu signieren. Dieses vorgehen erzeugt keinen funken sicherheit. Es ist schlangenöl. Tatsächlich ist es im moment sogar so, dass ein zertifikat, dem nicht automatisch vom brauser vertraut wird, trotz der alarmroten sicherheitswarnung sicherer ist als die verkaufte sicherheit — denn hier fällt die verwendung eines anderen zertifikates beim zweiten besuch der gleichen webseit auf, weil dann noch einmal eine ausnahmeregel bestätigt werden muss, was bei einer gekaperten oder gehäckten CA mit vollem brauservertrauen gar nicht auffiele.

(Achtung, ich bin gerade ein bisschen im trollmodus, das merkt ihr hoffentlich alle.)

Diese ganze an profitgenerierung und nicht an menschlichen bedürfnissen orientierte konstrukzjon mit zentralen CAs muss weg!

Und nein, ich vertraue weder „TÜRKTRUST“ aus einem staat, der gerade zur gottesstaatlichen kwasidiktatur umgebaut wird und religjös motivierte mörderbanden unterstützt, noch einer „T-Systems Enterprise Services GmbH“ aus einer lustigen bananenrepublik, die sich gerade erst dabei erwischen ließ, dass ihr geheimdienst systemmatisch und anlasslos die kommunikazjon aller menschen in diesem staat überwacht und alles tut, eine aufklärung dieser machenschaften zu unterbinden, obwohl diese vorgehensweise klar illegal ist. Was ich in diesem kontext von US-firmen unter den bedingungen des „patriot act“ halte, kann sich wohl jeder selbst vorstellen.

Guckt euch einfach mal selbst an, wem euer brauser für euch vertraut! Wenn ihr euch danach noch sicher fühlt, weil ihr ein vom brauser auf den bildschirm gezeichnetes schlösschen seht, kann ich euch auch nicht mehr helfen. Jeder nur eine lobotomie!

Feierfox des tages

Könnt ihr euch noch an dieses „hello“ erinnern, das die feierfox-entwickler vor anderthalb jahren in den feierfox eingebaut haben, weil wir ja alle keine gute tschättsoftwäjhr haben und weil wir alle ganz heiß darauf sind, dass der brauser immer moppeliger, träger, speicherfressender und voller mit unerwünschten funktionen gemacht wird. Nun, das wird jetzt wieder rausgefummelt. Gefällt mir!

Hej, feierfox-entwickler, wenn ihr schon dabei seid: ihr habt in den letzten jahren so viel scheiße in den brauser verklappt, die ihr auch gern mal rausnehmen dürft. Diese „pocket“-kacke zum beispiel. Euer brauser hat nämlich eine plugin-schnittstelle, so dass sich jeder funkzjonen nachrüsten kann, wenn er sie haben will…

Ach, das wisst ihr selbst. Dann programmiert doch bitte so, als ob ihr das wüsstet!

Guhgell des tages

Na, seid ihr jetzt endlich alle auf den tollen krohm-brauser von guhgell umgestiegen, der ja so viel besserer als der feierfox ist?

Nutzer von Google Chrome werden derzeit darüber informiert, dass ihr Surfverhalten in Zukunft auch zur Anzeige personalisierter Werbung verwendet werden kann […] Der Chrome-Verlauf enthält neben der gesamten Browserhistorie laut Google auch eine Liste aller Downloads, Cookies, Plugins und Offlinedaten von Webseiten, gespeicherte Passwörter und individuelle Eingaben in Formularfelder. Solche Daten lassen oft Rückschlüsse auf sehr Persönliches wie etwa die Religionszugehörigkeit, sexuelle Vorlieben oder politische Meinungen zu

Hej, aber dafür ist jetzt soooooo viel für eure privatsfäre getan worden. Ihr müsst jetzt in der europäischen unjon immer bestätigen, dass ihr damit einverstanden seid, dass die schon längst gesetzten cookies gesetzt wurden. Nach diesem bisschen „gefühlter privatsfäre“ aus der marktkonformen brüsseldiktatur lasst ihr euch doch bestimmt — mit vergnügen und dem sediertseligen gefühl, ein hervorragendes leben zu haben — eine guhgell-wanze (mit gesetzlich erzwungener NSA-datenschnorchelschnittstelle mindestens bei guhgell) für daunlohds, interessen, passwörter und eure gesamte im brauser stattfindende kommunikazjon auf euren rechner machen. Vollidjoten! Ich kann mich noch gut daran erinnern, wie ich als „verschwörungsteoretiker“ bestempelt wurde, als ich meiner skepsis gegenüber einem guhgell-brauser ausdruck verlieh. Jetzt fresst euren krohm! Erich Mielke wäre stolz auf euch gewesen, ihr hirnkrepel!

Ich wünsche auch weiterhin ganz viel spaß mit guhgell-produkten aus dem folternden und kriegsführenden NSA-unrechtsstaat USA!