Neuland des tages

Die Bundesrechtsanwaltskammer hat ein weiteres Problem mit einer Komponente des besonderen elektronischen Anwaltspostfachs. Wie Golem.de herausgefunden hat, nutzt das offizielle deutsche Rechtsanwaltsregister (Bundesweites Rechtsanwaltsverzeichnis, BRAV) eine veraltete Version der Java-Komponente Primefaces – und die ist für einen Angriff verwundbar, der es aufgrund einer kryptographischen Schwäche erlaubt, Code auf dem Server auszuführen. Damit hätte ein Angreifer theoretisch die Anwaltsdatenbank manipulieren können

Nehmt java, haben sie gesagt. Das ist sicher und solide, da schreibt sich guter kohd wie von alleine, haben sie gesagt. (Vieles haben sie schon über java gesagt. Das meiste stimmte nicht.)

Und, wie kriegt man das mit der veralteten komponente raus?

Ein Blick in den HTML-Quelltext des Rechtsanwaltsregisters verriet, dass es eine Softwarekomponente namens Primefaces nutzt

Also richtig tiefgreifende häckerkenntnisse auf dem niewoh eines spielkindes! Einfach strg-U drücken, wenn eine webseite angezeigt wird, und mal ein bisschen HTML lesen. Und dann einfach mal gucken, ob man mit einem bekannten und öffentlich verfügbaren perlscript noch in einer seit beinahe zwei jahren gefixten sicherheitslücke rumcybern kann. Weia! 😦

Das frage ich mich unwillkürlich, wie gut wohl der rest von dieser „besonderen elektronischen anvergewaltsvercyberung“ ist. Und ich tippe drauf, dass da noch hunderte von vergleichbaren scheunentoren zum einlass irgendwelcher nicht den vorgesehenen eingang benutzender besucher drinnen sind.

Hat jemand geglaubt, java sei frei?

Nein, wenn oräkel — übrigens eines dieser unternehmen, die bislang alles in einem haufen rottiger scheiße verwandelt haben, was sie gekauft und angefasst haben — geld braucht, dann wird geld für die java-lizenzierung kassiert. Da muss sich doch geld holen lassen:

Java SE is free for what Oracle defines as „general purpose computing“ – devices that in the words of its licence cover desktops, notebooks, smartphones and tablets. It is not free for what Oracle’s licence defines as „specialized embedded computers used in intelligent systems“, which Oracle further defines as – among other things – mobile phones, hand-held devices, networking switches and Blu-Ray players

Zum glück sind die meisten menschen noch nicht betroffen. Bis irgendwann einmal eine wandelnde addiermaschine bei oräkel bemerkt, dass die unterscheidung zwischen händis und wischofonen doch recht unscharf sein könnte…

Es gibt übrigens vollständig freie (im sinne von Freiheit, nicht von freibier) laufzeitumgebungen, kompeiler und IDEs für programmiersprachen, die derartige entwicklungen nicht befürchten lassen. Man erkennt sie daran, dass sie mindestens unter GPL, gern auch unter einer noch freieren lizenz (wie etwa der BSD-lizenz) lizenziert sind. Die kommen aber nicht von oräkel…

„Geistiges eigentum“ des tages

Da ist etwas an der welt vorbeigegangen: es ist kein urheberrechtsverstoß, wenn man eine bestehende API nachimplementiert. Gar nicht auszudenken, wenn das urteil anders gelautet hätte — jede digitaltechnik wäre auf einmal potenzjell illegal geworden. Linux? Das implementiert über das /dev-dateisystem und die syscalls eine API anderer leute. Ein beliebiger C-kompeiler? Der implementiert mit seiner libc eine API anderer leute. Javascript? Oh, da sind ganz viele APIs drin. HTML? Es würde auf einmal sogar fragwürdig, ob das rendern eines mit HTML ausgezeichneten dokumentes nicht eine nachimplementazjon einer anderen API ist, und die entscheidung darüber wird ein erhebliches juristisches risiko für den, der es auf ein gerichtsverfahren ankommen lässt. Natürlich hat dabei nicht jeder so viel „portokasse“ wie guhgell — ein privater entwickler, der andere an seinen werken teilhaben lässt, indem er sie unter Freie lizenzen stellt, stünde mit einem bein im knast und mit dem anderen bein im finanzjellen ruin.

Da, wo „geistiges eigentum“ ins spiel kommt, wird der kulturelle fortschritt der menschheit zum gelähmten kriechgang und jedem einzelnen wird juristisch-analsadistisch der genuss verwehrt, sich das leben schöner und leichter zu machen. An die stelle erfreulichen fortschritts tritt mit gewalt durchgesetzter rechte-feudalismus. „Geistiges eigentum“ ist ein konzept, das verschwinden muss. Ersatzlos. Und ganz schnell.

Java und security des tages

Java ist ja „sicher“, weil von vornherein an sicherheit gedacht wurde und zum beispiel java-applets in einem sandkasten laufen. Eventuelle fehler in der implementazjon, die diesen „schutz“ aushebeln, können da ruhig mal etwas hastig geflickt werden, so dass sie auf milljonen rechnern drinbleiben.

Der neue Exploit ermöglicht es, aus der Java-Sandbox auszubrechen („A complete Java security escape could be achieved with it.“). Damit steht zwischen einem saubern System und einer Infektion mit Schadprogrammen nur noch die Zwangsverzögerung „Click-to-Play“, die dafür sorgt, dass Java-Applets nicht automatisch ausgeführt werden)

Aber hej, oräkel, hauptsache deine verkackte ask-tuhlbar wird als legaler trojaner in den brauser reingestopft, wenn jemand bei der sicherheitsaktualisierung ohne genaues lesen immer schnell auf „weiter“ klickt.

Java des tages

Java, die tolle programmiersprache, die uns damals ende der neunziger mit ihrem sandkasten und ihrem sicherheitsmodell als ideal für die implementazjon von äppchen angepriesen wurde, die im brauser laufen sollen (und die später vor allem für alles andere verwendet wurde), hat mal wieder eine klitzekleine lücke:

Da Angreifer über die Lücke beliebigen Schadcode aus der Ferne ausführen können, empfiehlt Trend Micro, Java komplett zu deaktivieren, bis ein entsprechender Patch veröffentlicht wurde

Ach ja, heise ist mal wieder etwas unfähig und spricht allgemeinstmöglich von „java“, obwohl es sich um eine lücke in der virtuellen maschine von „java“ handelt, und obwohl dadurch kein einziges bisher benutztes java-programm wie — sagen wir mal — „mediathekview“ gefährlich geworden ist. Gefährlich ist hier in erster linje das java-plugin für den brauser, mit dem java-äpplets in webseits ausgeführt werden, weil einem damit zurzeit aus dem internetz heraus schadsoftwäjhr untergejubelt werden kann. Von dieser sommerurlaubsbedingten unsauberkeit des heise-jornalismus bitte nicht verunsichern lassen! Wenn mans nicht braucht, am besten das plugin für java deinstallieren — und ansonsten bitte auf jeden fall die einstellung „nachfragen, ob aktiviert werden soll“ machen, und es sollte kein problem auftreten. Außer natürlich, man klickt wie ein dummkopf und ohne sinn und verstand auf alles, was sich zum klicken anbietet. In diesem fall sollte man den brauser einfach gegen ein paar stark sedierende medikamente eintauschen. Zum schutz der mitwelt.

(Hej heise: könnt ihr demnächst bei einer windohs-lücke auch bitte mal die empfehlung ausgeben, dass man am besten windohs komplett deaktiviert, bis die lücke geschlossen wurde! Weia, bin ich heute empfindlich, oder ist der artikel wirklich gleichermaßen nichtssagend, naivlings-verängstigend und bullschittig?! Der als kwelle verlinkte artikel von „trend micro“ schreibt jedenfalls „We also recommend users to disable Java in browsers„. Können die praktikanten bei heise nicht mehr lesen? Oder sind die so damit beschäftigt, PR-scheiße umzuformulieren, weil scheiß-schleichwerbung das neue geschäft geworden ist, dass sie ihren eigentlichen jornalismus nur noch unter zeitdruck machen?)

Und wenn ihr windohs benutzt und deshalb von oräkel demnächst wieder diesen installer kriegt, denkt bitte daran, dass ihr nicht versehentlich in eile diese scheiß-brauserschadsoftware namens „ask-toolbar“ mitinstalliert! Hassmäjhls in dieser sache bitte an oräkel schreiben!

Schadsoftwäjhrschleuder des tages

Oräkel hat jetzt auch zum äppel-installazjonsprogramm für java eine softwäjhr hinzugefügt, die sich die meisten menschen nicht freiwillig auf ihren kompjuter spielen würden. Weil diese art von trojanern eben so richtig beliebt ist und den opfern kunden mehrwert bietet. Möge der laden bitte bald an seiner kundenverachtung krepieren!

Gut, dass immer weniger leute java benötigen.

drei gigadevs

3 Billion Devices Run Java

Auf drei milljarden geräten läuft diese javakacke.

Auf drei milljarden geräten gibt es im moment regelmäßig irgendwelche appdäjhts dieser javakacke, weil der vorherige appdäjht dieser javakacke das sicherheitsloch nur zum schein gestopft hat.

An drei milljarden geräten hocken jetzt irgendwelche leute und entfernen das häkchen vor „hey, oräkkel empfiehlt dir eine ask-tuhlbar für deinen brauser, und deshalb nimm dir diese tuhlbar“. Gut, vielleicht tun das nicht alle, aber jeder mit einem minimum an erfahrung hat keine lust auf diese reklamewäjhr.

An drei milljarden geräten wünschen gerade ansonsten sehr friedliche menschen diesen reklamewäjhr-arschlöchern von oräkkel wenigstens für einen kurzen moment irgendetwas nicht besonders freundliches.

Und keiner von den reklamewäjhr-arschlöchern bei oräkkel, die diese javakacke anrichten, bedankt sich auch nur annähernd drei milljarden mal, dass die drei milljarden flüche ihn nichts anhaben können.

Oräkkel

Toll, oräkkel, dass du demnächst den üblen fehler in java 7 ein bisschen schneller fixen willst, wenn du es schon nicht so schnell wie möglich machst, sondern mich lieber mit solchen ankündigungen zum lachen reizt. Wenn du jetzt auch noch dafür sorgen könntest, dass die menschen demnächst solche eiligen appdäjhtes auch bekommen!

Eben ausprobiert: auf einem kompjuter mit java (32bit) in die systemsteuerung gegangen und dort das „Update Intervall“ auf „täglich“ gesetzt und mit klick auf „OK“ bestätigt. Danach ist es automatisch wieder auf „monatlich“ gesprungen. Reproduzierbar. Natürlich ist auch keine automatische installazjon nach zeitplan möglich, ohne dass da immer wieder ein benutzer in nervfenstern rumklicken muss.

Ach, ist euch egal, wenn die rechner von ein paar „nur-anwendern“ von kriminellen übernommen werden, selbst, wenn diese „nur-anwender“ an vernünftige sicherheitseinstellungen denken? Gut, macht nur so weiter! Euer lässiger umgang mit solchen kleinigkeiten in hinsicht auf die kompjutersicherheit wird irgendwann, vielleicht sogar recht schnell auf die wahrnehmung eurer eigentlichen geldbringer, also euer RDBMS, durchschlagen. Und das könnte schnell eine langfristige wirkung entfalten, die euch an der einzigen stelle wehtut, an der ihr noch etwas zu merken scheint: am umsatz. Und ihr wisst ja selbst, dass man nicht mal eben so auf ein anderes RDBMS migriert, wenn man einmal eine entscheidung getroffen hat. Also gebt ruhig den drei milljarden java-nutzern, von denen ihr in eurem scheißinstallazjonsdialog faselt, einen deutlichen eindruck davon, dass euch sicherheitsgedanken völlig gleichgültig sind. Das werden schon ein paar leute sehen, die entscheidungen treffen und sich fragen, ob sie der softwäjhr einer solchen firma betriebswichtige daten anvertrauen wollen…

Ich mein ja nur so.

Drei milljarden

Oh, ist das „schön“, wenn ich unter windohs bei so einem fälligen java-sicherheitsappdäjht zum stopfen eines scheunentormäßigen sicherheitsloches auch noch eine fette reklame von oräkel in die augen geätzt bekomme:

3 Billion Devices Run Java

Fresst scheiße, leute! Drei milljarden fliegen können sich unmöglich irren!

Ein cache für integer-werte

Ich habe in meinem leben schon eine menge komischen kohd anderer leute gesehen, und manchmal habe ich auch ein paar zeilen kohd von mir gegeben, die ich selbst niemals würde vorzeigen wollen, aber auf die gnadenlos kranke idee, einen „cache“ für integer-werte anzulegen bin ich noch nie gestoßen oder gekommen. Muss man eigentlich java programmieren, um dermaßen krank in seinem praktischen denken zu werden? Lernt man in dieser sprache erst die ganz komischen optimierungen? Weil eben nicht alles so performant ist, wie es Sun so gern behauptet? Oder ist man schon vorher ein bisschen krank im kopfe, wenn man sich entschließt, ein java-programmierer zu werden?

(Ja, ich weiß, dass es hier um die erzeugung von instanzen der klasse Integer geht, aber dabei wird wohl kein nennenswerter verlust an laufzeit oder speicherplatz entstehen. Das ist nur ein klassenwräpper um einen int, mehr nicht.)