Privatsfäre des tages

Weshalb man seinen webbrauser niemals javascript ausführen lässt, keine cookies von dritten annimmt und niemals ohne wirksamen adblocker im web unterwegs ist? Weshalb man im zweifelsfall ergänzend sogar TOR oder ein VPN benutzt, wenn es um wirklich empfindliche dinge geht, damit keine seit-übergreifende zuordnung über die IP-adresse möglich ist? Weil es jeder webseit im zweifelsfall scheißegal ist, wie sie die daten ihrer nutzer rumschleudert [archivversjon]:

Internetportale, auf denen Nutzer Informationen zu psychischen Erkrankungen finden, geben reihenweise Nutzerdaten an Drittunternehmen weiter […] Für die Studie haben Forscher 136 Webseiten in deutscher, englischer und französischer Sprache analysiert. Auf 97 Prozent der Seiten haben sie Hinweise auf Drittanbieter gefunden – zum Beispiel sogenannte Tracker, mit denen Werbenetzwerke Profile von Nutzern erstellen können. Von den 44 in Deutschland untersuchten Seiten hatten fast zwei Drittel solche Werbetracker eingesetzt […] in mindestens einem Fall sogar Antworten von Onlinetests zum Thema Depressionen an Drittanbieter übermittelt worden sind

Aber hej, ihr habt ja eh alle nix zu verbergen. Da stört es euch doch sicherlich nicht, wenn solche daten in gar nicht mehr allzuferner zukunft in den datenbestand irgendwelcher auskunfteien einfließen, die von vermietern und brötchengebern befragt werden, wenn ihr einen dschobb oder eine wohnung haben wollt. Klar ist das illegal. Aber das interessiert niemanden. 😦

Und alle machen mit:

Zu den untersuchten Seiten gehört in Deutschland unter anderem die Webseite der „Apotheken-Umschau“

Diese DSGVO schützt euch auch nicht vor den machenschaften irgendwelcher gesundheitsratgeber und anderer freunde der großen datennacktheit (die scheißpresse-webseits zum beispiel):

Auf keiner der getesteten Seiten haben die Forscher aktiv der Sammlung persönlicher Daten zugestimmt

Aber die DSGVO ist ja auch nicht gemacht worden, um die geschäfte zwielichtiger und halbseidener geschäftemacher zu beenden, sondern um privaten, nicht-kommerzjellen mitgestaltern des webs das leben schwer zu machen. Sollen sie doch alle in das zentralisierte, zensierbare und vollständig überwachbare fratzenbuch gehen, wenn sie etwas mitteilen wollen! ☹️

Oder um es mit der immer wieder extrem staatsfrommen tagesschau zu sagen:

Bei einem Verstoß gegen die DSGVO drohen Unternehmen hohe Strafen

Klar, pro betroffenen menschen rd. zweieinhalb ørecent. Voll die harte, abschreckende strafe. Das ist die realität des „datenschutzes“ in der BRD. 😦

Aber äppel ist doch sicherer als windohs des tages

Über mehrere Jahre soll eine Gruppe bisher ungenannter Täter verschiedene Websites gehackt und mit Schadcode infiltriert haben […] Über äußerst komplexe Exploit-Chains, die Bugs in Safari, im Kernel sowie mehrere Sandbox-Escapes ausnutzten, kam so ein Implant auf die betroffenen Geräte, das nahezu vollständig freie Hand hatte […]War das Implant einmal auf dem iPhone, griff es unter anderem Nachrichtendatenbanken verschlüsselter Chats wie Telegram, WhatsApp sowie Apples iMessages ab und übertrug sie auf einen externen Server. Weiterhin gab es Funktionen zur Übertragung der Kontaktdatenbank, aller enthaltener Fotos sowie wichtiger Tokens wie denen von Google. Inhalte von Skype, Google, Outlook, Facebook und diversen weiteren interessanten Apps konnten abgegriffen werden. Auch Sprachnachrichten und SMS lagen offen, genauso wie die Keychain mit den Passwörtern und WLAN-Zugängen (Schlüsselbund)

Hej, kommt leute: eure passwörter könnt ihr doch ruhig ein paar kriminellen verraten. Was kann dabei schon schiefgehen?!

Achtung, der link geht zu heise onlein mit einem ganz diffus-nebulösen und nichtssagenden artikel, den offenbar schnell ein praktikant rausgerotzt hat. Wer informazjonen sucht, auf welchen webseits man sich die schadsoftwäjhr einfangen konnte, wie man erkennen kann, ob die schadsoftwähr gerade läuft und wie man sich in zukunft davor schützt, ist fehl am platze. Da kann man auch gleich die kompjuterbild lesen… 😦

Freie softwäjhr des tages

Die generazjon javascript zeigt uns schon einmal, wie die Freie softwäjhr der zukunft aussieht: mit werbeeinblendungen in der konsole sieht sie aus.

Wenn mir anfang der nuller jahre einer erzählt hätte, dass ich noch die zeit erleben würde, in der man reklame in der konsole hat, ich hätte dem einen vogel gezeigt und ihn für komplett meschugge gehalten.

via Fefe

Realsatire des tages

Heise onlein jubelt darüber, dass die webseit von heise onlein viel besser ist, seit dieser jquery-müll entfernt wurde — ja, auch für die leser ist das viel besser:

Es lohnt sich definitiv! Für uns, aber selbstverständlich auch für unsere User! Im April konnten wir bereits aus unserem Bundle ho.js die letzte Abhängigkeit entfernen und so mit einem Schlag 88 kB einsparen. Ende Mai konnten wir dann eine jQuery-Referenz (jQuery 2.1.1, 34 kB) aus heise Developer, Security, iX und Mac & i ausbauen, eine weitere (jQuery 1.7.1, 38 kB) aus dem Newsticker und Make sowie noch ein jQuery-UI (31 kB) aus Make. Insgesamt liefern wir seit diesem Tag 103 kB weniger Daten aus und geben den Browsern natürlich auch weniger JavaScript zum Interpretieren. Alles in allem sind so bisher 192 kB jQuery von unseren Seiten verschwunden

Noch besser für die leser wäre es allerdings, heise onlein würde seine paar kilobyte nutzinformazjon pro artikel nicht mit mindestens zweieinhalb megabyte javascript-verseuchter, träckender und nervender scheißreklame vergällen. Die eingesparten 192 kilobyte jquery-müll, die im gegensatz zur scheißreklame auch nur ein einziges mal heruntergeladen und danach aus dem brauser-cache verwendet werden, verblassen demgegenüber zu nix. Wenn man heise onlein besucht, und zwar auf einem deutlich besseren rechner als den rechenschrott, den ich jeden tag benutze, und dabei keinen werbeblocker und kein noscript hat, kann die darstellung einer seite schon mal eine viertel minute dauern. Mit werbeblocker und noscript geht diese ladezeit auf eine sekunde runter. Der einzige nachteil, den man dabei hat: es sieht auch noch übersichtlicher aus und man kann keine schadsoftwäjhr über werbebanner mehr reingedrückt kriegen.

Die frage, wie viel kohlendioxid durch die scheißreklame freigesetzt wird und wie hoch diese emissjon demnächst besteuert wird, spare ich mir mal. :mrgreen:

Überwachung des tages

Was „browser-fingerprinting“ ist, weiß hoffentlich inzwischen jeder. Man identifiziert menschen nicht mehr mithilfe eines cookies, sondern anhand aller möglicher daten, die eine webseit über javascript abfragen und zu irgendjemanden übertragen kann: etwa die installierten fonts, der verwendeter brauser, addons im brauser, zeitzone, betrübssystem, bildschirmauflösung, fenstergröße — und wenns derb wird, wird sogar noch überwacht, wie die maus geschoben und die tastatur benutzt wird. Wer einmal einen einblick bekommen möchte, wie viele bit identifizierender informazjon man daraus generieren kann und wie eindeutig das ist: die EFF hat schon seit ein paar jahren eine interessante demonstrazjon im web. Natürlich läuft so etwas normalerweise völlig unauffällig im huntergrund ab, während man auf irgendwelchen webseits ist. Cookies zu löschen hilft gar nicht, weil keine verwendet werden. Der beste schutz gegen solche mafiagestapometoden der scheißwerber ist übrigens ein sehr restriktiver umgang mit dem eingeräumten privileg für webseits, javascript im brauser auszuführen. Das ist übrigens auch generell ein guter schutz vor der übernahme des webbrausers durch ausgenutzte fehler im webbrauser, denn praktisch alle ausbeutbaren fehler der letzten jahre standen im zusammenhang mit javascript.

Warum ich diese olle, wohlbekannte tatsache noch einmal in erinnerung bringe? Nun, hat hier vielleicht jemand ein wischofon? Da sind sensoren drin, die man über javascript abfragen kann, und mit denen bekommt man sehr viele identifizierende bit informazjon raus (link geht auf eine englischsprachige webseit).

Der zugriff auf diese sensoren erfordert keine besonderen berechtigungen, und der zugriff auf die daten ist sowohl über eine native äpp, die auf einem gerät installiert ist, als auch über javascript beim besuch einer website auf einem eiOS- und ändräut-gerät möglich

Auch weiterhin viel spaß mit euren wischofonen! Ist ja alles so toll und zukunft, inzwischen kann man mit den dingern sogar reden. Erich Mielke wäre so stolz auf euch gewesen!

Tja, ist schon dumm, wenn man dumm ist…

Wenn ihr von Google Scheiß nachladet, geht eure Site in China nicht. Analytics, AJAX, AMP, alles.

Aber hej, wer will schon von diesem fünftel bis viertel der menschheit in china gelesen werden. Sind ja nur ein paar chinesen. Und das alles nur, weil die idjoten zwar alles selbst hosten könnten, aber lieber scheißdreck von guhgell in ihren drexseits verbauen, damit guhgell auch ordentlich die ganze welt verdaten kann.

Javascript des tages

Gut betrifft zwar eher node.js, aber autsch!

Ein mit Schadsoftware versehenes Javascript-Paket zielt darauf ab, Nutzer der Bitcoin-Wallet-Software Copay zu bestehlen. Der Entwickler von event-stream hatte das Interesse an dem Paket verloren und die Kontrolle an eine unbekannte Person weitergegeben […] Ein generelles Problem bei NPM ist, dass die Pakete oft extrem viele Abhängigkeiten haben. So weist auf Twitter ein Entwickler darauf hin, dass das von Facebook entwickelte Paket create-react-app insgesamt 1.770 indirekte Abhängigkeiten hat. Diese vielen Mikro-Abhängigkeiten sind natürlich ein enormes Sicherheitsrisiko

Na, dann macht mal schön weiter euren sörverkram mit node.js! Was kann da schon schiefgehen?! Und sagt nicht, dass euch niemand gewarnt hätte! :mrgreen:

Barrjerefreie webseiten des tages

Im Fokus stehen Komfortfunktionen für JavaScript und TypeScript, eine bessere Integration von Angular sowie eine Hilfsfunktion zum Erstellen barrierefreier Webseiten

In wirklichkeit ist eine barrjerefreie webseite weitgehend frei von javascript und vollständig ohne javascript benutzbar. Ach, ist ja auch nur ein heise-artikel mit einer schleichwerbung, da darf man das alles nicht so eng sehen, ich verstehe…

Hl. hölle! Heise wird die kompjuterbild 2.0.

Guhgell des tages

Guhgell will die „sicherheit“ erhöhen, indem es benutzer von guhgell-angeboten dazu bestupst, sicherheitseinstellungen im webbrauser zu lockern.

Ab ob ein bot kein javascript könne! Natürlich geht es dabei nicht um irgendeine „sicherheit“, sondern um besseres träcking. Abgeschaltetes javascript hilft gegen die meisten fortgeschrittenen überwachungsverfahren der scheißwerber und übrigens auch gegen die allermeisten angriffe von richtigen verbrechern auf den webbrauser. Aber das ist guhgell doch egal, wenn andere leute einen schaden haben — hauptsache, das geschäft von guhgell läuft. Und damit das auch in zukunft läuft, wird den leuten in bestem volxverdummerton erzählt: „wer kein AIDS will, der soll jetzt ohne präser ficken“. Toll!

Wischofon des tages

Habt ihr ein wischofon? Und benutzt ihr da auch manchmal den webbrauser? Dann wisst ihr ja sicher schon, dass jede dahergelaufene webseit und jedes von irgendwelchen (vielleicht sogar kriminellen) hanseln bezahlte und dort eingebettete stück scheißreklame einfach und völlig ohne euch zu fragen die sensoren eures wischofones auslesen kann [link geht auch einen englischsprachigen text].

Wenn du guhgell mäpps in deinem wischofonbrauser benutzt, bekommst du ein kleines dialogfenster, das sagt „diese webseit will deinen aufenthaltsort wissen“, und du kannst das erlauben oder nicht […] Aber wenns um bewegungssensoren, lichtsensoren oder näherungssensoren geht, gibt es keinen mechanismus, um den anwender darauf hinzuweisen und ihn um erlaubnis zu bitten, so dass einfach unsichtbar für den anwender zugegriffen wird

Na und, ist doch nicht schlimm? Doch:

Die forscher weisen darauf hin, dass auf einer schädlichen webseit solche informazjonen für verschiedene angriffe benutzt werden könnten [… so ließen sich etwa] bewegungssensor-daten als eine art keylogger nutzen, um etwas wie eine PIN abzuleiten

Dank auch an das W3C (besetzt mit allen nach scheiße stinkenden scheiß-datensammler- und scheiß-überwachungsklitschen dieser welt), dass so etwas zum standard erhoben wird. Wenn man bei den wischofon-brausern wenigstens wie in richtigen brausern problemlos javascript abschalten könnte, um sich vor solchen vergewohltätigungen in den besuchten webseits zu schützen! Aber nein, das ist nicht vorgesehen. Schließlich sind das ja wanzen, also sollen sie auch lauschen.

Auch weiterhin ganz viel spaß und orwellness mit euren scheißwischofonen! Alle reden von faschistischen überwachungsstaat. Ihr macht ihn!

Nein. Das werde ich nicht tun.

Please turn JavaScript on and reload the page. -- DDoS protection by Cloudflare -- Ray ID: 4559c1f69a0d9bff

Wer sich — wie diese von mir nicht benannte webseit — von „cloudflare“ vor DDOS-attacken „schützen“ lässt, lässt sich auch gleichzeitig vor jenen lesern „schützen“, die sich weigern, jeder dahergelaufenen seite in einem anonymisierenden, technischen medium das privileg einzuräumen, javascript im brauser ausführen zu können. Zum beispiel, weil sie wert auf ihre eigene kompjutersicherheit legen. (Praktisch jedes mal in den letzten zehn jahren hatte es etwas mit javascript zu tun, wenn massenhaft kompjuter über den brauser gepwnt wurden; die einzige ausnahme war der ausbeutbare fehler im PDF-anzeiger vom feierfox.) Aber hej, wer auf seiner eigenen webseit für idjoten schreibt, denen alles einschließlich der eigenen kompjutersicherheit scheißegal ist, der kann natürlich dieses tolle „cloudflare“-zeugs darin verbasteln.

Kostenloser bonus von „cloudflare“: deutschsprachige besucher einer deutschsprachigen webseit werden mit einem tollen englischen kürzsttext in der gestaltung einer fehlermeldung beglückt. Das freut doch jeden. Da kommt doch jeder gern zurück. 😀

Aber hauptsache, fläsch ist tot! :mrgreen:

Feierfox des tages

Nein, wirklich! Firefox braucht jetzt node.js zum bauen

Wer überhaupt nicht weiß, was node.js ist, schaue bitte kurz in die wikipedia. Alle anderen haben schon längst die hand im gesicht.

Ich habe für solche schwachsinnsideen ja nur eine erklärung: die feinde bei der mozilla foundation wollen nicht, dass man den feierfox wie jede andere freie softwäjhr im prinzip mit einem einfachen configure; make; make install selbst kompilieren kann und sorgen deshalb immer absurdere abhängigkeiten.

Der kleine unterschied zwischen damals und heute

Microsofts klassisches Betriebssystem Windows 95 kann dank einer Portierung auf aktuellen Betriebssystemen wie MacOS, Linux und Windows 10 ausgeführt werden […] Realisiert wurde die App mit APIs der Software Electron, welche auf Basis von Javascript, HTML und CSS zum Erstellen von Desktop-Anwendungen genutzt wird. Die Umsetzung von Windows 95 als Software hat damit aber zur Folge, dass statt der 4 MByte Arbeitsspeicher des Originals immerhin knapp 300 MByte RAM benötigt werden

Kauft RAM-riegel, leute, viele viele RAM-riegel! Denn ihr werdet in der kommenden zeit mit ganz viel „anwendung im webbrauser“ niemals genug davon haben.

Intel des tages

Auch der Return Stack Buffer (RSB) von Intel-Prozessoren lässt sich zum Auslesen vermeintlich geschützter Speicherbereiche durch spekulative Ausführung missbrauchen […] Eine naheliegende Möglichkeit, ret2spec für Angriffe zu nutzen, wären präparierte Webseiten oder E-Mails mit JavaScript- oder WebAssembly-Schadcode

Wer lässt denn javascript in mäjhls zu? Und warum, warum zum henker, warum?!

So langsam sollten auch weniger einsichtige menschen eine ahnung bekommen, warum es eine verdammt dumme idee ist, jeder dahergelaufenen webseit in einem anonymisierenden, technischen medium wie dem web das privileg einzuräumen, programmkohd im webbrauser auszuführen. Ein wirksamer skriptblocker wird immer wichtiger. (Wer keine angst vor einer komplexeren lösung hat, sollte sich unbedingt auch einmal umatrix anschauen.)

Trottel des tages

Ich bin ja recht froh, dass die kräcker, die mit ihrer schadsoftwäjhr zwei neue lücken in windohs 7 und im „adobe reader“ ausnutzen wollten, ihren versuchskohd erstmal bei „virustotal“ ausprobiert haben, um mal nachzuschauen, ob auch ja kein schlangenöl darauf anschlägt… 🙂

Denn wenn sie das nicht getan hätten, gäbe es jetzt sicher wieder ganz viel spämm mit PDF-anhang. Und ganz viele idjoten, die unverabredet zugestellte anhänge aus der mäjhl eines unbekannten einfach klicki-klicki aufmachen.

(Alternativ ist es übrigens durchaus möglich, dass der exploit schon verkauft, aber nicht bezahlt wurde — und von den kräckern mit dem hochladen zu „virustotal“ unbrauchbar gemacht wurde. Dann wurde er vermutlich schon eingesetzt, aber wohl eher nicht für breite kampanjen und auffällige schadsoftwäjhr. Denn dass jemand, der neue ausbeutbare schwachstellen findet und einen vernünftigen exploit dafür schreiben kann, andererseits so doof ist, das zeugs vor dem einsatz oder verkauf zu „virustotal“ hochzuladen, statt es im darknet für teuer bitcoin zu verscherben, kann ich mir kaum vorstellen.)

Übrigens, windohs-nutzer! Nehmt zum henker nochmal etwas anderes als den fürchterlichen, aufgeblasenen „adobe reader“ mit seiner wenig erfreulichen sicherheitsgeschichte, um euch PDFs anzugucken! Die progger von „adobe“ haben dieses überkomplexe frickelmonster schon seit jahrzehnten nicht mehr so im griff, dass es bedenkenlos für dateien aus fragwürdigen kwellen (zum beispiel mäjhlanhänge oder aus dem web runtergeladene handbücher) benutzbar wäre. Ich habe zum beispiel keine probleme mit evince, und das gibts auch für die noch halbwegs brauchbaren versjonen von windohs (vor windohs acht und windohs zehn). Und wozu sollte ein dokument javascript brauchen? Braucht ein buch doch auch nicht…

Die „pirate bay“ über ihr eigenes geschäftsmodell

TPB Supermod namens Sid macht es sich als Reaktion sehr einfach. Die Zeit bis man einen Magnet-Link finden und herunterladen würde, sei total irrelevant. Wer länger als fünf Minuten dafür brauche, sei hier falsch, so Sid. Und wer grundsätzlich auf solchen Seiten ohne einen Adblocker unterwegs sei, mache es doppelt falsch

Ich sags ja immer: so viel javascript blocken, wie nur irgend möglich ist, webseits, auf denen das nicht möglich ist, meiden und zusätzlich niemals ohne adblocker! Überall! Leute, die in javascript irgendwelches kryptogeld machen, benutzen die ineffizjenteste nur irgend denkbare laufzeitumgebung für ihren trojaner: den webbrauser. Das ist eine noch größere stromverschwendung als es diese ganze kryptogeldscheiße eh schon ist. Dass damit die stromrechnungen bei anderen menschen steigen und die hardwäjhr belastet wird, interessiert diese kryptogeldgeilen arschgesichter überhaupt nicht. Die würden für ein paar pfennige jeden schaden bei ihren mitmenschen in kauf nehmen. Das sind asozjale arschlöcher, karakterlich nahe am offenen halunken.