Javascript des tages

Antworten Opfer auf eine mit bestimmten HTML-Attributen und -Elementen versehene Mail, könnten Angreifer JavaScript-Code im Kontext des Dokuments zum Verfassen der Nachricht auszuführen

Schon HTML-mäjhl ist schon eine idjotische idee aus der lodernden security-hölle, die exakt null vorteile hat, und man sollte den menschen, der diese idjotische idee erbrütet hat, einfach zu tode ohrfeigen. Aber niemand — ich wiederhole: niemand — hat jemals darum gebeten, dass mäjhls kohd enthalten können, der beim anschauen der mäjhl oder beim klicken auf einen link ausgeführt wird. Trotzdem macht das jedes verdammte mäjhlprogramm. Obwohl es ein albtraum für die kompjutersicherheit ist.

Nutzt hier jemand krohm, diese brauserwanze von guhgell?

Dann holt euch mal die sicherheitsaktualisierung ab. Und wie immer bei securityproblemen im webbrauser in den letzten jahren…

Eine Lücke (CVE-2022-1364 „hoch“) betrifft die JavaScript Engine V8.

…erweist sich javascript als risikotechnik, und menschen, die die ausführung von kohd in irgendwelchen webseits (oder werbebannern) mit einem äddon unterbinden, sind sowieso auf der sicheren seite. Noscript ist eine wirksame sicherheitssoftwäjhr, viel wirksamer als jedes antivirus-schlangenöl. Aber trotzdem sollte man sich aktuellen brauser holen, denn ein beseitigter fehler kann nicht mehr ausgenutzt werden.

Gruß auch an die ganzen scheißjornalisten, die leser contentindustriell-jornalistischer webseits mit immer mehr gängelung zu javascript zwingen wollen! Ihr macht die welt zum paradies für verbrecher, und ihr seid feinde!

Es gibt exakt einen grund…

…warum das zwitscherchen in zukunft doch wieder auch den inhalt längst gelöschter fiepser ausliefern wird, wenn der fiepser über die API in eine andere webseit eingebettet wurde: weil die leute sonst immer mehr dazu übergehen werden, bildschirmfotos zu machen. Und wenn die leute bildschirmfotos machen und anstelle der javascript-wanze vom zwitscherchen in ihre webseits einbinden, hat das fürs zwitscherchen nur nachteile: der ganze träcking-kohd vom zwitscherchen wird nicht mehr von ganz vielen billigen und willigen gehilfen im ganzen web verteilt. Und das kann das zwitscherchen ja nicht wollen, weniger überwachungsdaten in der eigenen datensammlung. Es ist ja immer noch ein börsennotiertes unternehmen ohne seriöses geschäftsmodell. Und deshalb wurde die idee, dem verfasser eines fiepsers die autonomie darüber zu geben, seinen fiepser wieder zurückziehen zu können, ganz schnell wieder aufgegeben.

Und wisst ihr, wer euch das nicht erzählt: euer lach- und sachjornalist beim ehemaligen fachmagazin heise onlein. Die sind sicherlich dort sicherlich alle selbst schwer auf diesen ganzen S/M-rauschmitteln, so wie beinahe jeder jornalist. Und ist man erstmal auf droge, ist man schnell verblendet und sieht das offensichtlichste nicht mehr. Und dann erzählt man den anderen menschen nur noch lügen und scheiße. Zum beispiel, dass ein abhörmikrofon fürs wahnzimmer ein „lautsprecher“ sei.

Javascript des tages

Ich gebe mal weiter an Fefe. Aber keine tischkanten in gebissnähe! Es sind diesmal richtige SCHMERZEN.

Für die, die es nich wissen: npm ist der paketmänätscher für node.js, eine laufzeitumgebung, die javascript außerhalb des webbrauser ausführen kann. Wird insbesondere auf dem sörver eingesetzt. Was kann da schon schiefgehen, wenn jeder hansel jeden beliebigen kohd unterschieben kann. Und eine kohding-kultur, in der auch noch die überflüssigsten module 430.000 mal in der woche runtergeladen werden, macht das problem nicht gerade kleiner. Wenn ein geringer aufwand zur übernahme von milljonen sörvern mit schadsoftware führt, dann ist der cyber-cyber-angriff zwangsläufig.

Dieses javascript ist einfach nur krank…

Bildschirmfoto der entwicklerkonsole des feierfox

  • null < 0 ergibt false
  • null > 0 ergibt false
  • null == 0 ergibt false
  • null >= 0 ergibt true

Aua, mein Gehirn!

Wers nicht glauben mag, weil es so unheilbar hirnrissig ist, kann es leicht mit einem feierfox nachvollziehen. Einfach shift-strg-I drücken und loslegen!

Javascript ist doch eine trollprogrammiersprache!

Nachtrag: Dieses wördpress hatte hier bei wordpress.com ein kleines problemchen mit HTML-entitäten im alt-text eines bildes, deshalb habe ich nochmal im text wiederholt, was man im bild schon sehen kann.

Javascript des tages

Entwickler, die sich jüngst die Pakete coa oder rc aus dem Repository von npm für die JavaScript-Laufzeitumgebung Node.js heruntergeladen haben, haben ihren Computer mit hoher Wahrscheinlichkeit mit Schadcode infiziert. Problematisch ist, dass beide Pakete zusammengenommen pro Woche mehr als 20 Millionen mal heruntergeladen werden

Huch!

Netzpolitik punkt org wurde von kriminellen „funkzjonserweitert“:

Am Samstag, den 6. November 2021, lieferte unsere Website ein bösartiges Skript aus, das in manchen Fällen versucht hat, durch Drive-By-Angriffe Nutzer:innen zur Installation von Schadsoftware zu bringen […] ein bösartiges Skript, das manchen Leser:innen beim Besuch der Seite ein Fenster anzeigte, dass sie vermeintlich ihren Browser aktualisieren sollen. Diese Fenster haben auf Websites weitergeleitet, auf denen Schadsoftware verteilt wird. Soweit wir wissen, betraf das Windows-Nutzer:innen, die Seiten waren auf die jeweils verwendeten Browser Chrome und Firefox angepasst

Seht ihr, deshalb gewährt man nicht jeder webseit das recht, javascript im brauser auszuführen, obwohl es keinen technischen grund dafür gibt!

Javascript des tages

Ein Rechner, auf dem die genannte Software ausgeführt wird, könnte Angreifern Zugriff auf vertrauliche Informationen gewähren oder ihnen erlauben, die Kontrolle über das System zu übernehmen. Offenbar dient der in diesem Fall eingeschleuste Schadcode dazu, auf dem Zielsystem einen Miner für Kryptowährung zu installieren […] Auch wenn der Schadcode vom System entfernt worden sei, gebe es keine Garantie, dass alle durch die vorübergehende Einrichtung der Malware entstandenen Schäden damit behoben seien

Javascript ist das neue fläsch! Ind die leute installieren sich das zeugs selbst und freiwillig! 🤦‍♂️️

Warum? Weil sie doof sind und deshalb für jeden scheiß bibliotekskohd installieren müssen¹:

Niemand auf diesem Planeten, der nur rudimentär For-Schleifen in Pascal programmieren kann, braucht diese NPM-HÖLLE. NIEMAND

Leider ist es oft etwas schwierig, das einem scheff zu erklären, der seinen mangel an technischem wissen durch einen kolerischen karakter kompensiert.

Ja, ich weiß, dieser link tut im köpfchen richtig weh. Mir auch. Dieser kohd, den ein normal denkender programmierer durch ein schlichtes, schnelles, klares, im gegensatz zu is-odd von keiner weiteren bibliotek abhängiges und ohne den zusatzaufwand eines funkzjonsaufrufes auskommendes ((quux & 1) === 1) — ja, da sind unnötige klammern für menschliche leser drin — ersetzen würde, hat zurzeit über 430.000 daunlohds. Nein, nicht insgesamt und auch nicht jährlich, sondern wöchentlich. Nur, falls ihr euch mal fragt, was zurzeit alles schiefläuft in der softwäjhrentwicklung: da wird kohd aus dem halben internetz zusammengefummelt, den man sich nicht anguckt, und dann glaubt man, dass die damit gebauten anwendungen sicher sind.

Ich glaube das ja noch nicht…

Dieses Spaß-Projekt von Microsoft könnte ein erstes Umdenken einleiten. Statt immer mehr Code für Performance-Verbesserungen hinzuzufügen und dann viele kritische Bugs zu fixen, versucht man eher Funktionen zu entfernen, die für viele Sicherheitsprobleme verantwortlich sind

Übrigens lässt sich die sicherheit von softwäjhr generell verbessern, indem man komplexität reduziert — denn komplexität ist bei softwäjhr immer das gegenteil von fehlerfreiheit, robustheit, sicherheit. Ich sage das seit zwei verdammten jahrzehnten und werde dafür überwiegend wie ein außerirdischer angeguckt. Vor allem, wenn ich sage, dass man den kohd vielleicht erstmal gründlich entfehlern sollte, bevor man ihn erweitert…

So ein ganzer kompeiler in einem webbrauser ist jedenfalls ein maß von komplexität, das man auf jeden fall vermeiden sollte.

Aber was rede ich. Inzwischen glauben die leute da draußen sogar, dass ein webbrauser eine gute laufzeitumgebung für eine anwendung (modernsprech: äpp) sei. Ob sich mal jemand gedanken über die CO2-bilanz überkomplexer moppelsoftwäjhr gemacht hat?

Übrigens, kwalitätsjornalist, hirnverschissener!

Wenn du der meinung bist, dass es eine gute idee ist, auf einer kwalitätsjornalistischen webseit leute dazu zu zwingen, dass sie javascript aktivieren, um deine texte lesen zu können, und wenn es dir scheißegal ist, dass nicht jeder mensch 32 gigabyte RAM in seinem kompjuter und auch nicht jeder einen prozessor mit zwanzig rechenkernen hat, so dass die dortigen javascript-wüsten das gesamte RAM eines kompjuters an sich reißen, die swap-partizjon vollschaufeln und den kompjuter mit irgendwelchen unsichtbar im hintergrund ablaufendem bullschitt beschäftigen, dann wirst du halt nicht mehr gelesen. Und verlinkt wirst du dann sowieso nicht. Ist halt doof, wenn man seine fünf kilobyte nutzinformazjon in so vielen megabyte dysfunkzjonaler frickelscheiße verpackt, dass das produkt einfach nur noch eine zumutung ist.

Geh einfach verrecken, jornalist! Zum leben bist du nun mal zu doof.

Kleines privatsfären-lacherchen des tages

Hier eine echte realsatire:

Da Du Java Script deaktiviert hast, weißt du offenbar wie Du dich sicherer durch das Internet bewegen kannst. Für Dich ist der Test dann nur reine Spielerei. Wenn Du ihn trotzdem ausprobieren willst, dann aktiviere Java Script. -- Und über die Unterstützung der Arbeit von netzpolitik.org würden wir uns natürlich besonders freuen: netzpolitik.org/spenden

Wer dieser aufforderung der macher von „netzpolitik“ genüge leistet, hat dafür auch gleich verloren — denn keine vorrichtung, die man bei der ersten gelegenheit aus neugierde oder sonstiger motivazjon abschaltet, weil einem jemand in diesem internetz drum bittet, ist von irgendeinem wert.

Auf einzelheiten dieses bullschitts — zum beispiel wurden mir fünf punkte abgezogen, weil ich für IM nicht signal benutze, sondern XMPP mit OMEMO-verschlüsselung und weitere fünf punkte, weil ich nicht den torbrauser benutze, sondern pale moon und TOR als lokalen proxysörver verwende — will ich gar nicht weiter eingehen, aber es ist klar, dass ich für die macher dieses tests ein „datenschutz-muffel“ bin. Das richtet sich eben weder an menschen, die verständnis haben, noch richtet es sich an menschen, die verständnis erlangen wollen, sondern an zukünftige netzpolitik-spender, die sich in ihrem betreuten denken immer alles von jornalisten erklären lassen wollen. 🤑️

via netzpolitik

Ja, ihr könnt mich auch mal im arsche lecken!

One more step -- Please complete the security check to access website -- Please stand by, while we are checking your browser -- Please turn on JavaScript and reload the page.

Nein!

Ihr ganzen idjoten da draußen, die ihr auf dumme, enthirnende scheißreklame reinfallt und mit diesem „cloudflare“-scheißdreck eure webseit vor überlastungsangriffen schützen wollt: ihr sperrt alle menschen aus, die ihren webbrauser im zeitalter verbreiteter internetz-kriminalität und überall verbautem überwachungskohd einigermaßen gegen solche an- und übergriffe schützen.

Was euch da als leser bleibt, sind verantwortungslose deppen und ungebildete trottel.

Wollt ihr das?

Ja?

Dann könnt ihr euch in der langen schlange von antimenschen ganz hinten anstellen; in der sich täglich verlängernden schlange von intelligenz- und menschenverachtenden scheißtypen, die mich mal am arsch lecken können.

Nein?

Dann stellt diese scheiße einfach ab! Ist übrigens auch besser, wenn ihr einer fragwürdigen klitsche wie „cloudflare“ nicht auch noch webseit-übergreifendes träcking eurer leser ermöglicht und macht eure datenschutzerklärung etwas kürzer und genießbarer.

Ach, eure datenschutzerklärung ist sowieso eine lüge? Dann geht einfach sterben!

Bravo, @heise! So klappt die leservertreibung.

Heise: Ehemaliger Fachverlag

Bravo, heise! Ihr habt es geschafft! Bei eurem leserforum kann man sich nur noch mit aktiviertem javascript einloggen. Das ist eine völlig sinnlose, aber sicherlich absichtlich eingebaute leserbestupsung und gängelung, was man allein schon daran sieht, dass es zwanzig verdammte scheißjahre lang ganz altmodisch mit direktem link und einer HTML-<FORM> völlig ohne javascript ging. Ist euch euer nach scheiße stinkender träcking-, datensammel- und stalking-kohd in eurer webseit wirklich so über alles andere wichtig geworden, dass ihr so eine kackscheiße bei den paar verbliebenen lesern nötig habt, die wert auf kompjutersicherheit und privatsfäre legen?

Und dann habe ich javascript bei heise mal kurz vorübergehend erlaubt, und festgestellt, dass aus einer relativ schnell ladenden und flüssig nutzbaren forumseite ein zwanziger-jahre-bullschittmonster wurde, das für seine darstellung in meinem brauserfenster deutlich über zwei sekunden benötigte und sich wie „die guten alten modem-zeiten“ anfühlte. Wenn man so gezielt technikverhinderung betreibt wie hier heise onlein in seinem neuerdings kastrierten (und seit längerer zeit stark durchzensierten) leserforum, dann wird auch 5G nicht mehr helfen. Dann wird alles kriechen, als wären die letzten dreißig jahre nicht geschehen, aber alles wird datensammeln wie heute.

Kommt heise, ihr könnt mich auch mal! Ich wünsche euch noch viel erfolg auf dem weiteren lebensweg und viel freude mit euren neuen, digital etwas naiven lesern! Grüßt den insolvenzverwalter von mir! Geistig seid ihr ja schon dort…

Und wenn ihr gar glaubt, dass ich jetzt wenigstens eure bestempelten bäume kaufe, habt ihr euch verrechnet.

Ehemaliger fachverlag des tages

Bildschirmfoto der webseit von heise onlein

So sieht die navigazjon auf der webseit des ehemaligen fachverlages heise seit einigen wochen aus, wenn man sie mit einem gut gesicherten webbrauser (einschließlich wirksamen javascript-blocker) besucht. Es war heise zwar jahrelang durch trickreichen CSS-einsatz möglich, dass man die gesamte webseit von der startseite aus auch mit abgeschaltetem javascript erreichen konnte, aber inzwischen scheint das im ehemaligen fachverlag nicht mehr gewünscht zu sein, dass leute mitlesen, die wert auf kompjutersicherheit legen. Und deshalb sollen die leser eben dazu bestupst werden, dass sie einem dritten über ein technisches, anonymes medium das privileg einräumen, programmkohd in ihrem webbrauser auszuführen. Den heise dann dafür „benutzt“, den seitenaufbau im forum künstlich um eine gefühlte sekunde zu verlangsamen, wenn man einen wirksamen adblocker verwendet, damit das forum mit reklame schneller wird als ohne reklame. Dass dabei inkauf genommen wird, dass sich so bestupste heise-leser über malvertising eine aktuelle kollekzjon von schadsoftwäjhr einfangen, ist bei derartigen tätig- und tätlichkeiten kein hinderungsgrund.

Wenn ich das machte, müsste ich ja einen dachschaden haben, dass ich kwasi im freien schlafe. Sämtliche webbrauser-sicherheitsprobleme der letzten jahre standen im zusammenhang mit javascript, und ein großteil des schadsoftwäjhrtransports geschieht inzwischen über in webseits eingebettete reklame. Ein gut wirksamer schutz dagegen soll unterdrückt werden? Nein, ich habe die botschaft der ehemaligen fachverleger aus der karl-wiechert-allee vernommen und verstanden, und allen, die das nicht verstanden haben, wünsche ich noch viel spaß bei der computerbild mit schlips. Es war eine schöne zeit mit heise. Möge das pressesterben schnell gehen, schön zusammen mit zeit onlein, der nicht mehr zitierfähigen WAZ, der alpenprawda, der FAZ und mit golem.

Nur, um mal kurz öffentlich eine frage zu beantworten, die mir vor ein paar stunden persönlich gestellt wurde: warum ich inzwischen so selten meldungen auf heise onlein verlinke und teilweise kwellen oder sekunddärkwellen deutlich geringerer reputazjon oder in englischer sprache verlinke? Darum.

Ist schon dumm, wenn man ausgerechnet als heise-verlach leute mit solchen metoden dazu bestupsen will, sicherheitseinstellungen ihres kompjuters oder der softwäjhr zu lockern.

Heise: Ehemaliger Fachverlag

Viel spaß beim pressesterben, zeit onlein!

Das sagt einem die webseit von zeit onlein aus, wenn man sie mit einem leidlich sicher konfigurierten webbrauser aufruft:

Seitenüberdeckende vorschaltseite, wenn man zeit onlein mit einem sicher konfigurierten webbrauser aufruft: -- zeit.de mit Werbung -- Um der Nutzung von zeit.de mit Werbung zuzustimmen, muss JavaScript in Ihrem Browser aktiviert sein. -- zeit.de Pur -- Nutzen Sie zeit.de mit weniger Werbung und ohne Werbetracking für 1,20 €/Woche (für Digital-Abonnenten nur 0,40 €/Woche). zeit.de Pur: [Jetzt abonnieren]

Aha, ich soll also entweder die sicherheitseinstellungen meines webbrausers lockern, weil mich ein gegenüber über ein technisches und anonymisierendes medium darum bittet, oder ich soll geld dafür bezahlen, dass ich die contentindustrielle webseit „mit weniger werbung“ betrachten darf. (Über werbefrei hätte man ja wenigstens nachdenken können, aber angesichts der breit verabreichten und ungekennzeichneten schleichwerbung in contentindustriellen scheißwebseits würde ich mir das auch nicht reindrücken lassen…)

Und dann soll ich euch auch noch glauben, was ihr schreibt, obwohl ihr zu doof seid, eure kwellen zu verlinken?!

Ich wills mal so sagen: vor meinem arsch ist auch kein gitter.

Sehr schön! Spiegel! Sehr, sehr schön! 👏

Es ist ja sehr selten, dass ich die scheißpresse mal lobe, aber heute ist der tag gekommen. 👍

Ich finde es sehr schön, dass ich zurzeit das ehemalige nachrichtenmagazin „der spiegel“ nur noch mit abgeschaltetem javascript lesen kann, wenn mir jemand einen link dorthin schickt, weil ich ansonsten mit einem erzwungenen „einverständnis“ in einer nervtafel belästigt werde. Entweder soll ich mich träckender, überwachender und potenzjell schadsoftwäjhr transportierender scheißreklame ohne jede berücksichtigung des datenschutzes einverstanden erklären, oder ich soll geld dafür bezahlen, dass ich jenseits des kuckucksnest… ähm… der spiegel-bezahlmauer wandeln darf, nein, nicht etwa werbefrei, sondern „nahezu ohne werbung“:

Bildschirmfoto der nervtafel

Ich begrüße diese entscheidung des „spiegels“, seinen lesern die benutzung von wirksamen javascript-blockern nahezulegen. Damit tut der „spiegel“ viel für die steigerung der kompjutersicherheit in der BRD. Denn praktisch alle kriminellen angriffe auf webbrauser der letzten zehn jahre funkzjonierten nur, wenn javascript freigeschaltet war. In einer heldenhaften geste — wie unterscheidet man eigentlich noch mal einen helden von einem suizidalen vollidjoten — nimmt der „spiegel“ es für dieses hohe ziel sogar billigend in kauf, dass man keinen link mehr auf die webseit des „spiegel“ setzen kann, weil dieser link ja auf eine überrumpelnde nervtafel statt auf den verlinkten artikel führt. Das ist ein vorbildlicher einsatz für ein großes ziel! Wir sollten donnernd applaudieren! 👏

Ansonsten wünsche ich dem ehemaligen nachrichtenmagazin „der spiegel“ noch viel spaß beim pressesterben. Hoffentlich gehts jetzt schnell, der kwält sich ja schon lange genug… und dass die scheißjornalisten, die vor noch gar nicht so langer zeit aktiv mit propaganda und lügen den hartz-IV-staat herbeigeschrieben haben, demnächst hartz IV beantragen dürfen, ist nur ein bisschen karma. Dann unterschreiben sie endlich auch mal eine „eingliederungsvereinbarung“, die allein deshalb keine „vereinbarung“ ist, weil die unterschrift mit existenzjellem druck (du willst doch essen, wohnen und leben) erzwungen wird, also noch erpresserischer als bei dieser nervtafel, und dann gehts halt zum mindestlohn in die zeitarbeit! Komm, scheißjornalist, es kann ja auch nicht jeder ein jornalist sein, irgendwer muss ja auch mal arbeiten. Dachdeckergehilfe ist doch auch ein schöner beruf¹… arschloch!

¹Nein!