Security des tages

Benutzt hier jemand unter meikrosoft windohs guhgells krohm als webbrauser?

(Übrigens: anders als heise schreibt, braucht da nix ausgeführt zu werden und wird da wohl auch nix ausgeführt. Der explorer öffnet irgendwann den daunlohd-ordner, in dem sich die .scf-datei befindet. Darin kann unter anderem ein piktogramm angegeben sein, das für diese datei dargestellt wird. Wenn dieses piktogramm sich auf einem SMB-server befindet, dann versucht der angegriffene rechner, sich über NTLM zu authentifizieren, um das piktogramm abzuholen. So kommt der angreifer an die gehäschten zugangsdaten — und hat schon einmal einen fuß für weitere angriffe in der tür. Das ist nicht wirklich ein krohm-problem, sondern eine ernsthafte schwäche von windohs. Krohms rolle beim angriff besteht einzig darin, dass so eine datei ohne jede rückfrage ins daunlohd-verzeichnis gestopft werden kann. Aber hej, wer SMB nicht im router nach außen blockiert, hat sie eh nicht mehr alle! Und wer ausgerechnet einen brauser von datenkrake und weltüberwacher guhgell benutzt, sollte sich besser ein anderes hobby als das internetz zulegen. Briefmarkensammeln zum beispiel. Dabei kann nix schiimmes passieren, auch wenn man sehr dumm ist. Ich frage mich jedenfalls bei jeder schwäche in krohm, ob die vielleicht doch beabsichtigt ist.)

„Linux ist sicher“ und unbuntu des tages

Sicherheitslücke im anmeldebildschirm von unbuntu gewährt jedem zugriff auf ihre dateien

[…] „Lightdm“ grenzt die gastbenutzung-sitzung nicht korrekt ein, die standardmäßig in einer ubuntu-installazjon verfügbar ist. Ein angreifer mit fysikalischem zugang zu einem von dieser schwäche betroffenen gerät kann dies ausbeuten, um auf die dateien anderer benutzer auf dem system zuzugreifen, einschließlich der dateien im home-verzeichnis der benutzer.

Der link geht auf einen englischsprachigen text. Wer die letzten sicherheitsaktualisierungen von unbuntu gezogen hat, ist aus dem schneider, weil die gastsitzungen einfach deaktiviert wurden. Wer noch nicht aktualisiert hat, sollte es jetzt einfach mal tun… 😉

Und nein, der fehler wird nicht gefixt. Das ist unbuntu, da fixt man solche fehler nicht. Da wird einfach die funkzjon abgeschaltet. Wer wirklich gast-logins braucht, könnte dafür allerdings auch einen benutzer mit geringen privilegjen anlegen und mit einem kleinen skriptchen sicherstellen, dass der benutzer jedes mal beim wieder-abmelden (oder bei der anmeldung) „aufgeräumt“ wird.

Hinweis via @benediktg@gnusocial.de.

Kennt ihr den schon?

Der opera-brauser für ändräut ist voll datensparsam, antiträcking, privatsfäre und so mit seinem eingebauten adblocker… und transportiert selbst träckende ads in der äpp. 😳

Überall, wohin man nur schaut: angebote für die generazjon jamba auf dem weg in die idiocracy.

Bildschirmfoto via unixstickers@twitter.com, hinweis via @benediktg5@twitter.com.

„Cloud“ des tages

Legt eure passwörter in der „cloud“, also auf den kompjutern anderer leute, ab, haben sie uns gesagt. Das ist sicher und ihr habt sie immer von überall verfügbar, haben sie uns gesagt.

Britische Benutzer des Passwort-Managers Lastpass klagen über Unerreichbarkeit des Dienstes, was dazu führt, dass sie keinen Zugriff auf die gespeicherten Passwörter haben und sich bei Webdiensten nicht mehr einloggen können

😳

Schlangenöl des tages

Security:
Unfassbar schlimmer fehler im schadsoftwäjhr-skänner von meikrosoft windohs kann ausgenutzt werden, um schadsoftwäjhr zu installieren

Nachtrag: artikel bei heise onlein. Keine sorge, es handelte sich „nur“ um die funkzjonalität, irgendwelchen kohd (aus webseits, aus IM-mitteilungen, aus mäjhls, die man dafür nicht einmal anschauen muss, aus irgendwas von irgendwo) mal eben testweise mit system-rechten auszuführen. Genau die art von funkzjonalität — von irgendwelchen verschwörungsteoretikern dann als „hintertür“ bezeichnet — wie sie die NSA gern hätte. Natürlich deute ich das nur völlig beleglos an…

GNU des tages

WARNING, CLUSTERFUCK AHEAD!

Programmiert hier jemand in C++ und benutzt die libstdc++ von GNU und hat komische speicherlecks? Oder benutzt hier jemand einen modernen desktop und wundert sich, dass das dingens immer langsamer und plattenkratziger wird, wenn man es mal ein paar tage laufen lässt? Oder verwendet hier jemand eine in C++ geschriebene anwendung mit ganz großem speicherhunger?

The GNU C++ Library is Broken

Es ist etwas länger, aber die lektüre lohnt sich… auch, weil jeder mal bemerken kann, wie viel kopfschmerz so eine scheiße verursachen kann. Das beschriebene problem mit dem speicherleck in der libstdc++ dürfte (in geringerem maße) beinahe jeden menschen betreffen, der eine gegen die GNU-biblioteken gelinkte, in C++ geschriebene softwäjhr verwendet.

Via Fefe

Security des tages

Benutzt hier jemand für irgendeinen zugang einen fingerabdruckskänner, weil biometrische dinger so einfach, toll und sicher sind? Prof. dr. Offensichtlich hat sich das jetzt mal näher angeguckt und dabei etwas völlig unerwartetes rausgekriegt: Für fingerabdruckskänner kann man einen einzelnen fingerabdruck künstlich herstellen, der viele damit gesperrten dinger einfach aufmacht. Na gut, es sind noch nicht alle, aber immerhin 65 prozent… 😀

Auch weiterhin viel spaß mit den lustigen sicherheitsversprechen der tinnefindustrie! Ich verstehe das eh nicht, wozu man auf so security-mäßig komplett kaputten dingern wie wischofonen so viel gefühlte security wie biometrische verfahren braucht…

Grüner p’litpropagandafehlschlag des tages

Tja, dieser S/M-kram ist ja so hübsch für die propaganda. Da kann man so schnell dinge reinschreiben. Und wenn sich zu wenig leute für den einseitigen und oft offen volxverblödenden schrott interessieren, dann kauft man halt bei irgendeinem halbseidenen anbieter ein paar freunde und follower, damits bedeutsam aussieht. Zu schade, dass es bei demonstrazjonen nicht genau so leicht geht und man dann die perspektive fürs foto entsprechend wählen muss, damit sechzig hanseln wie eine große volxbewegung aussehen — und wenn der intelligenzverachtende propagandaversuch der marke „hier versammelt sich der widerstand“ dann ausgerechnet über diese S/M-dinger auffliegt, dass es nur so zum kringellachen ist.

Aber hej, die scheißgrünen können sowieso endlich mal in der bedeutungslosigkeit verschwinden. Eine bis zur offenen fortschrittsfeindlichkeit und faschistoiden verherrlichung menschenunwürdiger arbeit¹ konservativ-rückständige p’litische partei rechts von der AFD kann doch niemand gebrauchen.

¹Eine arbeit, die von einer maschine erledigt werden kann, ist menschenunwürdig. Der von den scheißgrünen mitgeschaffene billigarbeitsstrich und die von den scheißgrünen mitgetragene ausweitung der so genannten „zeitarbeit“ ist nicht weit vom reichsarbeitsdienst entfernt. Der hauptgrund, weshalb die antike so wenig das leben erleichternde technik erfunden hat, war die verfügbarkeit billiger und völlig rechtloser sklaven, die solche geistige tätigkeit entbehrlich machte. Die BRD wiederholt diesen fehler nur zu gern, gerade der teil der BRD, der sich „links“ und „grün“ nennt…

Javascript des tages

User lieben ZenMate -- We protect millions of users -- 00,000,000 -- Join us! -- [Get ZenMate Premium] -- or -- [Start Free Premium Trial]

Tja, ihr security-spezjalexperten, wenn ihr wenigstens die zahl vom websörver übermittelt hättet, statt sie nur über javascript darstellen zu lassen, dann würde euer reklameversuch in einem halbwegs sicher konfigurierten webbrauser auch nicht so lächerlich aussehen. Aber es ist auch besser so, denn so wird zumindest jedem menschen mit etwas elementarer ahnung (der im zeitalter der internetz-kriminalität nicht jedem anonymen honk das ausführen von programmkohd im brauser gestattet) klar, was ihr für ein schlangenöl anbietet… :mrgreen:

Schlangenöl des tages

Ein Virenscanner für Unternehmen und Privatanwender hat Zehntausende Dateien weltweit in Quarantäne gesteckt, weil er sie fälschlicherweise als bösartig eingestuft hat. Unter den betroffenen Dateien waren auch die Insider Previews von Windows

Und wieso wurden die fälschlich als bösartig eingestuft? Das war doch völlig korrekt… :mrgreen:

Hej, und eine luftige prise „cloud“ ist auch dabei:

Nach den Angaben war die betroffene Konfiguration des Cloud-basierten Virenscanners nur etwa 13 Minuten aktiv […] Webroot hat bislang noch keine Lösung zur Wiederherstellung der Daten entwickelt

Weil… müsst ihr glauben, mit „cloud“ wird alles besser. Hat der onkel jornalist gesagt.

Auch weiterhin viel spaß mit dem schlangenöl, das ihr an euer betrübssystem dranflanscht, weil ihr glaubt, dadurch würde euer betrübssystem sicherer!

Äppel-wotsch des tages

Könnt ihr euch noch an diese überteuerte und dysfunkzjonale „uhr“ von äppel erinnern? Diese „äppel-wotsch“, die von jedem reklameschreibejornalisten mit ganz großem tamtam überall als das näxste große dingens nach den wischofonen angeprisen wurde? Und dann kauften die leute, und es kam — wenn man einmal von der langsamen und heftig am akku knabbernden ausführung einer kleinen anzahl äpps absieht, die dann in briefmarkengröße am handgelenk dargestellt werden — nix. Nun: es sieht so aus, als würden die üblichen ratten (amazon, guhgell, ihh-bäh) jetzt das sinkende schiff verlassen, und die äpps werden bei der näxsten aktualisierung einfach deinstalliert. Wenns euch nicht gefällt, könnt ihr ja mal versuchen, eure scheißuhr zu rooten.

Auch weiterhin viel spaß beim kauf überteuerter äppel-produkte! Für das geld hätte man auch eine richtige uhr kaufen können… :mrgreen:

PHP und security des tages

Einmal der ganz normale PHP-wahnsinn: wenn man auf einmal das datenbankpasswort in einer PHP-fehlermeldung einer webseit lesen kann… weia!

Tja, deshalb hat man bei einem richtigen produkzjonssörver, der am richtigen web hängt, auch die php.ini ein bisschen bearbeitet:

display_errors = Off
display_startup_errors = Off
log_errors = On

Fehlermeldungen finden sich dann im error.log des websörvers. Das sollte reichen, um fehler nachvollziehen zu können, wenns auch nicht ganz so direkt ist.

Beim proggen ists ja manchmal noch ganz gut, wenn man bekwem im brauser sieht, wo der verdammte fehler steckt und noch einen kleinen backtrace sieht, wie es dorthin gekommen ist. Vor allem in PHP, wo man praktisch keine brauchbaren debugging-werkzeuge hat. (Von der kwalität und brauchbarkeit der PHP-fehlermeldungen schweige ich jetzt mal.) Aber bei einer webseit, die sich auch mal ein cräcker anschaut, ist es einfach eine scheißidee, auch nur anzuzeigen, wo welche dateien liegen (in PHP immer mit absoluten pfadangaben!) — und kohdfragmente in den fehlermeldungen sind eine noch schlechtere idee. Sonst macht die mysql mal bubu, und dann steht da ein datenbankpasswort in der fehlermeldung. Oder andere dinge, die ein potenzjeller cräcker interessant findet.

via @benediktg@gnusocial.de

Bringt farbe in die kindheit…

Ein Malbuch für Kinder hat in den Niederlanden für Aufregung gesorgt: Kunden der Drogeriekette Kruidvat entdeckten beim Blick in das Malbuch einen gezeichneten Adolf Hitler in Uniform mit Hakenkreuzbinde

Tja, ist schon kacke, wenn man so etwas einfach druckt, ohne es sich vorher ganz genau anzuschauen und irgendein mutmaßlich unterbezahlter elendsarbeiter sich einen fiesen scherz erlaubt… hättet ihr das buch einfach selbst ausgemalt, bevor ihr es verkauft, wäre das nicht passiert. Aber seit wann guckt man sich die sachen selbst an, die man seinen kunden für eine handvoll euro andreht… :mrgreen:

Security des tages

Samsung hat ja für seine wischofone, glotzen und sonstigen internetz-der-dinge-dinger ein eigenes betrübssystem und nicht dieses ändräut. Das ist doch sicher viel sicherer als dieses ändräut

Neiderman zufolge hat Samsung bei Tizen „alles falsch gemacht, was man nur falsch machen kann“ und offensichtlich hat „niemand, der Ahnung von Sicherheit hat, in den Code geschaut“

Auch weiterhin viel spaß mit euren ganzen smart gadgets, ihr stupid people!