Linux des tages

Benutzt hier jemand debian unstable (oder einen debian-abkömmling wie etwa unbuntu) mit systemd und den KDE als desktop (oder irgendeinen anderen desktop, lädt aber die KDE-biblioteken schon einmal zum start des desktops, damit KDE-programme schnell starten)? Der systemd ist da gerade kaputt und der KDE braucht eine kleine ewigkeit zum starten.

Package: systemd
Version: 240-1
Severity: critical
Justification: breaks unrelated software

After upgrading to 240 version, all my system started to take ages to boot. It seems related to disk mapping first and then kdeinit5 is stuck for nearly 5 minutes at 100 cpu.

Downgrading to 239.15 fixes eveyting back. THe report is done from a restaures 239.15 version.

Ich habe das problem gerade mit einem XFCE vor mir gehabt, der die KDE-biblotheken zum start lädt. Das hat auf der müden kiste eines mitmenschen acht verdammte minuten gedauert. Für einen eher schlanken desktop ist das eine völlig inakzeptable wartezeit. Fröhliche weihnachten, kann man da nur sagen…

Wer ebenfalls einen XFCE benutzt und gerade so lange auf seine klickoberfläche warten muss, dass man währenddessen den hund zum scheißen auf die straße schleifen könnte, sollte vielleicht am ende der wartezeit mal unter einstellungen ▷ sitzung und startverhalten ▷ fortgeschritten sämtliche häkchen wegmachen. Damit sollte der XFCE erstmal wieder benutzbar sein. Zu schade, dass debian unbedingt diese systemd-krüppelscheiße nehmen musste! Aber für argumente war und ist dort halt niemand mehr zugänglich.

Äppel des tages

Ob das eine gute idee ist, äppel-betrübssysteme zu benutzen. Im moment fühlen sich sicherlich eine menge leute schlecht, weil in der wetter-äpp drinsteht, dass sie gesundheitsgefährdendes atemgas einatmen. Gefällt mir! Vor allem, weil so unfassbar viele äppelidjoten auch einen fetten SUV-atmosfährenkonverter durch die stadt fahren. Und wer näheres dazu erfahren will und mit seiner künstlich dummen assistentin labert, bekommt dann eine ganz andere angabe, ergänzt um eine völlig kontextlose zahl frei von jeder bedeutung, aber ungesund ist es nicht mehr. Vermutlich wurde siri von den gleichen leuten geproggt, die auch die betrügerischen motorsteuerungen bei VW geproggt haben… :mrgreen:

Freut ihr euch auch schon alle darauf, dass äppel in den gesundheitsmarkt will?! Das ist ja schon einmal eine schöne vorahnung der kwalität, die äppel anstrebt… :mrgreen:

Aber hej, vielleicht ist es ja auch nur marketing für das näxte große äppel-produkt: eiÄjhr, atemluft aus teuren dosen mit apfel drauf. Denn ewig wird man nicht einer minderheit von intellektuell retardierten menschen gegenwärtige technik zum doppelten bis vierfachen des marktüblichen preises für ebendiese technik andrehen können.

Kompeilerfehler des tages

Der gcc „optimiert“ bitoperazjonen so „gut“, dass das ergebnis falsch ist. Und nein, dazu muss man ihm nicht eigens sagen, dass er optimieren soll (obwohl es dann natürlich immer noch ein fehler im gcc wäre). Andere kompeiler übersetzen den beispielkohd richtig. (Gut, ich habs nur mit LLVM getestet.)

Wer den gcc nutzt oder nutzen muss und gerade mit seltsamen, ziemlich unverständlichen problemen zu kämpfen hat, wenn er ein bisschen shiftet, das komplement bildet oder ein paar bits setzt, maskiert, invertiert — ein ganz schneller tipp ohne jede garantie von mir: nehmt durchgehend unsigned und hängt an jede konstante ein U dran, dann scheint dieser fehler nicht aufzutreten.

Security des tages

Sendet ein Angreifer eine cURL-Anfrage mit „AAAAAAAAAAAAAAAAAAAAAAAAAAAAA“ an verwundbare HP-Proliant-Server, könnte er diese übernehmen

Diese momente, in denen ich mich frage, wie es wohl zu so einem fehler kommt… ich bin mir sicher, dass das eine mehr oder minder gewollte hintertür (vielleicht aus einer entwicklungsfase, vielleicht aber auch vorsätzlich mit böser absicht eingebaut) ist.

Und jetzt alle so! :mrgreen:

Nutzt hier jemand eiFohns oder äpple-PCs?

జ్ఞా — nein, ich weiß nicht, wie man das ausspricht. Aber äppel weiß dafür nicht, wie man das korrekt rendert und die aktuellen betrübssysteme von äppel kacken ab. Unicode ist und bleibt ein bisschen schwierig. Hauptsache, es gibt neue emojis. 💩

Und hej, wenn schon so ein einzelnes zeichen das fon zum abkacken bringt, dann würde es mich gar nicht wundern, wenn man darüber auch kohd ausführen kann. Das ist ja nicht das erste mal, dass äppel beim rendern eines komplex aufgebauten unicode-zeichens abkackt, und bislang scheint das problem eher so behoben worden zu sein, als dass die paar zeichen, mit denen man fehler ausbeuten kann, rausgefiltert werden. Denn sonst würde der scheiß nicht immer wieder passieren. Ich glaube, wenn Steve Jobs noch leben würde, bekäme er bei dieser vorgehensweise einen seiner kolerischen wutanfälle, bei denen man ganz weit weg sein möchte…

Benutzt hier jemand was von äppel?

Es ist möglich, an einen PC, ein wischofon oder ein wischopädd von äppel eine textnachricht zu senden, die das system mindestens zum absturz bringt — und manchmal kommt es noch dicker:

Auf Twitter und in anderen sozialen Netzwerken wird derzeit ein Link verbreitet, mit dem sich aktuelle Hardware von Apple via iMessage crashen lässt – eine sogenannte Textbombe. Wird er in der Nachrichten-App (Messages) auf dem Mac empfangen, dem häufigsten Verbreitungsweg, stürzt diese sofort ab – auf iPhone, iPad und iPod touch soll es sogar zu Neustarts des Homescreens oder gar Crash-Schleifen kommen

Klick und kräsch! Das ist aber auch immer schwierig mit dieser anzeige von texten… das kennen wir ja alle, dass wir eine einfache textdatei in einem editor öffnen und das komplette betrübssystem beim rendern dieses textes abstürzt. Meine fresse!

Ach du scheiße, das wird ja noch schlimmer! Es sind ja sehr „benutzerfreundliche“ systeme, die äppel da immer auf die menschheit loslässt, da muss man…

Problematisch ist, dass die Nachrichten-App sowohl auf dem Mac als auch auf iPhone, iPad und iPod touch Links automatisch mit einer Vorschau versieht – entsprechend hilft es nicht, den Link einfach nicht zu klicken

…nicht einmal mehr klicken. Es ist doch schön, wenn einem so viel lästige arbeit vom kompjuter abgenommen wird! (Welcher vollidjot ist auf diese hirnversengte scheißidee gekommen?! Da kann man den leuten ja noch so oft diese elementare kompjutersicherheits-grundlagenschulung geben, dass sie nicht auf alles klicken sollen, worauf man klicken kann, und dann kommt so ein scheiß-betrübssystem daher und macht es stattdessen vollautomatisch für seinen anwender. Vermutlich nichtdeaktivierbar. Ich verstehe zwar nicht, welches problem damit gelöst wurde, aber ich bin wohl auch zu dumm dazu. Ganz große extraklasse! Zu schade, dass für die verursachten schäden durch solche scheißideen aus den gruselgrüften verstrahlter hirne nicht gehaftet werden muss.)

Wördpress des tages

Dieses wördpress meint schon seit ein paar tagen, dass ich mir eine aktualisierung installieren soll, weil…

Bildschirmfoto aus dem adminbereich von wördpress (hier aus dem spämmblog). Es gibt laut menü eine aktualisierung, die ich installieren soll. Ich benutze die aktuelle versjon von wördpress, alle meine erweiterungen sind auf dem aktuellen stand und alle meine deseins sind auf dem aktuellen stand.

…bei mir alles auf dem aktuellen stand ist. 😀

Ach, apropos spämmblog! Das spielkind, das da gerade wie ein tollwütiger berserker wörterbuchmäßig passwörter für einen login ausprobiert, kann sich von mir sagen lassen, dass es nicht ganz so einfach ist. Mein tipp: mach dir einfach selbst ein blog auf, dann brauchste nicht meins zu pwnen! 😉

„Freie softwäjhr ist sicher“ des tages

Im Open-Source-Datenbankserver PostgreSQL klaffen drei Sicherheitslücken […] Eine der Lücken kann missbraucht werden, um sich ohne Angabe eines Passworts am Server anzumelden und Zugriff auf Datenbanken zu bekommen. Der Fehler fußt in einem Bug in der C-Bibliothek libpq, die leere Passwörter ignoriert und so behandelt, als sei kein Passwort gesetzt […] Zwei weitere Lücken in der Software ermöglichen es Nutzern unter bestimmten Umständen, Zugriff auf die Passwörter anderer Nutzer zu bekommen und in Datenobjekte zu schreiben, auf die sie eigentlich keinen Zugriff haben sollten

Also los, holt euch die neue versjon, wenn ihr postgresql im einsatz habt! Klar, bei heise im sommermodus hat mal wieder ein praktikant geschrieben, der gar nicht richtig klar gemacht hat, was das für ein fehler ist und wie man den ausnutzen kann. (Das problem liegt darin, dass die besagte libpq sich um die autentifikazjon kümmert, und dabei auch den sonderfall „kein passwort“ abfängt, nicht der datenbanksörver. Wenn man kohd hat, der diese bibliotek nicht benutzt, sondern direkt mit dem datenbanksörver kommuniziert, und wenn ein benutzer auf inaktiv gesetzt wurde, indem sein passwort auf NULL gesetzt wurde, dann tritt der fehler auf. Ich würde mich niemals darauf verlassen, auf der sicheren seite zu sein, weil meine anwendungen die bibliotek benutzen. Wenn ein angreifer über eine andere schwachstelle in irgendeiner anwendung kohd ausführen kann, ist er eventuell ganz schnell DBA.

Die frage, was für ein kraut die entwickler geraucht haben müssen, um eine autentifizierungsschwäche in einer bibliotek zu umgehen, statt sie im sörver zu fixen, müsst ihr den entwicklern stellen.

Fehler des tages

Man lade mit Windows 7 oder 8.1 eine Datei unter "$MFT", und das System crasht […] Das funktioniert auch ohne bewusste Mitwirkung des Windows-Benutzers, wenn besagter Dateipfad etwa als Link in eine besuchte Webseite eingebunden ist

Bwahahahaha!

…oder, falls man mal keine lust hat, darauf zu warten, dass das opfer klickt: mit javascript über einfaches setzen window.location.href. Und schon wird es blau. :mrgreen:

Deshalb erlaubt man übrigens nicht jeder dahergelaufenen webseit die ausführung von javascript.

Ändräut des tages

Oh, da ist mal wieder ein kleines fehlerchen in ändräut: kriegste ne altmodische SMS, fährt dein scheißding auf einmal nicht mehr hoch und hängt für immer fest

Wohl denen, die ein wischofon haben, auf dem wenigstens die gröbsten sicherheitslöcher von den herstellern gestopft werden! Wehe den anderen, und das sind immer noch die meisten. Unterdessen erzählen euch eure jornalisten beim gleichen verlach immer wieder bei jeder gelegenheit, wie gefährlich dieses fläsch-dingens für den webbrauser ist, wo üble sicherheitslücken wenigstens regelmäßig gestopft werden. Und das mutmaßlich nur, weil dieses fläsch auf dem ganzen von äppel als kompromat verschenkten zeugs gar nicht läuft.

Übrigens: für das im symbolfoto dieses verlages gezeigte S4 mini hat samsung keine sicherheitsaktualisierung rausgegeben. Schließlich sollen sich die leute mal was neues kaufen und funkzjonierende technik einfach in den sondermüll tun. Das ist besser für samsungs profite. (Deshalb gibts auch nur noch samsung-einwegtelefone ohne die möglichkeit, den akku zu wexeln. Einwegfeuerzeuge und einwegflaschen haben sich die leute ja auch andrehen lassen, ex und hopp.)

Bug des tages

Laut einem aktuellen Artikel weisen Tabellen von durchschnittlich 20 Prozent der Veröffentlichungen zur Genforschung Fehler auf. Sie entstehen durch das automatische Konvertieren von Daten durch Excel

Bwahahahaha! Auch weiterhin viel spaß mit „intelligenter“ und „benutzerfreundlicher“ softwäjhr, die für euch denkt und die genau weiß, was ihr wirklich wollt! Immer schön die tabellenkalkulazjon für die datenhaltung nehmen! Wer ein bisschen englisch kann, kann ja mal hier weiterlesen… oder für eine etwas ältere geschichte nachschauen, wie ein zusammenhang zwischen armut und staatsverschuldung hergestellt wurde, der heute noch in person von Wolfgang „schwarze null“ Schäuble p’litik macht, scheißegal, was dabei alles kaputtgeht… :mrgreen:

Security des tages

Benutzt jemand von euch das ziemlich großartige „ImageMagick“ auf einem websörver zur bearbeitung hochgeladener bilder (zum beispiel, um sie mit convert oder mogrify zu verkleinern)? Nein? Auch nicht in irgendeinem plugin für ein forum? Das ist gut, dann kann auch niemand kohd mit den rechten eurer websörver ausführen.

Mit dem ollen netpbm-paket wäre das nicht passiert. (Schlechter witz, ich weiß.)

Gregorianischer kalender des tages

Heute mal wieder eine 1a-inschenörsleistung aus der BRD der jetztzeit:

Am Düsseldorfer Flughafen sind am Montag etwa 1200 Koffer liegengebleiben. Der Grund: Die Software der Gepäck-Förderanlage hatte sich vom Schalttag aus dem Takt bringen lassen. „Die Anlage hat den 29. Februar nicht als Tag erkannt“, sagte ein Flughafensprecher

Wenn ihr so etwas lest, freut ihr euch bestimmt auch alle schon auf die „selbstfahrenden“ autos, deren softwäjhr vielleicht auch mal wegen einer zu hastig programmierten datumsaritmetik abkackt. Wie man sieht, bedeutet die existenz von gut getestetem und praktisch fehlerfreiem bibliotekskohd für praktisch jede ernsthaft verwendete programmiersprache keineswegs, dass programmierer den fertigen und fehlerfreien kohd auch benutzen. Da müsste man ja eine API-dokumentazjon lesen. Nee, viel zu mühsam, da schreibt mans lieber selbst, und zwar falsch.

Aber es gibt ja grund zur hoffnung:

„Wir hoffen, dass wir das in vier Jahren besser machen“, sagte der Sprecher

Softwäjhrtests mit gut ausgedachten testfällen wären übrigens eine tragfähige alternative zur hoffnung. Wenn man daran denkt, kann man das sogar automatisieren. Ach, das kostet zeit für den entwurf und die implementazjon und damit geld? Na, dann wird eben weitergehofft! Und wenns ganz hart kommt, holt man eben jemanden, der sich mit hoffnung richtig gut auskennt! So gehts in die zukunft. Und unterdessen darf von den menschen in der BRD gehofft werden, dass an entscheideneren stellen weniger gehofft und mehr geplant wird.