Tolle idee: kryptogeldbeutel gleich in den webbrauser einbauen

Da kriegste angst, dass du am facepalm sterben könntest…

Ob der private schlüssel der wallet wohl im speicher des gleichen prozesses wie der rest des webbrausers rumlungert? Was kann da schon schiefgehen?!

Oder liegt der private schlüssel (also der zugang zum geld und damit der besitz des geldes) etwa zentral bei opera herum, zusammen mit dem zugang zu einigen zehntausend weiteren kryptogeldbeuteln?

Mir reicht jedenfalls schon „kryptogeld auf dem wischofon im webbrauser haben“ für das sichere gefühl, dass da einige pöse jungs in ein paar wochen ganz schön viel kryptogeld mitnehmen werden. Sage bitte niemand, dass er nicht vorher gewarnt wurde! Es ist eine unfassbar schlechte idee, die opera da hat. Wer mir das nicht glauben mag, weil ich ein dahergelaufener blogger bin, der nicht einmal richtig deutsch schreibt, der frage bitte einfach einen richtigen fachmann! Zum beispiel einen professor für informatik mit schwerpunkt kryptografie oder so etwas. Der wird nix anderes sagen, als dass es eine unfassbar schlechte idee von opera ist — nachdem er sich vergewissert hat, dass auch nicht der erste april ist. Einfach ausprobieren! Nur jornalisten dürft ihr nicht fragen, die haben wirklich keine ahnung und halten die inhalte von PResseerklärungen für ganz was hochkwalitativ tolles und wahres.

Kennt ihr noch den ollen opera, mit der guten benutzerschnittstelle? (Das war jahrelang der aus anwendersicht beste brauser überhaupt.) Könnt ihr euch noch erinnern, dass der irgendwann einmal eine eingebaute mäjhlsoftware verpasst bekam, und dass die erste versjon einen kleinen, peinlichen fehler hatte: manchmal waren sämtliche mäjhls einfach weg? Also jetzt: richtig weg, auch auf dem sörver. Ich will mal hoffen, dass so ein kryptogeldbeutel bei opera ein bisschen solider geproggt wird.

Advertisements

Wisst ihr noch?

Wisst ihr noch? Dirty cow? Überall im oktober 2016 gefixt. Wirklich überall? Mitnichten, bei „domainfactory“ wurde „dirty cow“ angeblich im juli 2018 für einen kräck ausgebeutet. Da möchte ich nicht wissen, wie der rest der security bei „domainfactory“ aussieht… 😦

Betroffene des datenlecks fordere ich dazu auf, von ihren rechten nach DSGVO gebrauch zu machen und mindestens einen schadenersatz für ihren zeitlichen aufwand mit dieser von „domainfactory“ verbockten riesenscheiße rauszuholen. Also:

1. Auskunft von „domainfactory“ einfordern!
2. Den mutmaßlich grob fahrlässigen verstoß gegen die DSGVO bei der nächsten polizeidienststelle zur anzeige bringen!
3. Schadenersatz einfordern.

Ich bin wirklich daran interessiert, zu sehen, ob diese DSGVO nur ein gesetz zur einschüchterung privater und mittelständischer webseit-betreiber ist, das niemals gegen wirtschaftsunternehmen und großdatenschleuderei angewendet wird, oder ob sich die situazjon der betroffenen solcher datenschleudereien wirklich verbessert hat.

Ach ja, auch weiterhin viel spaß beim festen glauben an den euch überall versprochenen schutz euer persönlichen daten! Die liste wäxt und wäxt und wäxt. 😦

Nachtrag: „ein pfund gehacktes bitte“ beim webrocker…

Heise erklärt die informazjonstechnik…

Heute: was ist eine programmiersprache.

Endlich!!1! Meikrosoft „Active Desktop“ for Linux!!elf!1!

Jade: Ein neuer linux-desktop auf der grundlage von python, HTML5 und javascript…

*grusel!*

Zu den risiken und nebenwirkungen eines voll aufgeplusterten webbrauserdingens zum rendern des desktops schaut bitte einfach in die sicherheitsgeschichte von meikrosoft windohs. Die frage, ob menschen mit solchen ideen ein gehirn haben, lässt sich leider nur in der metzgerei beantworten.

Wer linux hat und mal einen kleinen höllentrip machen möchte, kann sich die kwältexte auf einer plattform runterladen, die demnächst möglicherweise jetzt endlich meikrosoft gehört¹. Da wäxt wahrlich zusammen, was zusammen gehört! Da gibt es auch schon naheliegende wünsche für die zukünftige funkzjonalität, zum beispiel, dass man das hintergrundbild ändern kann.

(Ja, letzteres ist ein bisschen unfäjhr, so jung wie dieses projekt ist.)

via @tux@pod.geraspora.de…

¹„Github“ war meikrosoft 7,5 gigadollar wert. Nicht jeder ist begeistert, wie ich vernommen habe. Aber wer jetzt von einem zentralen anbieter zum anderen zentralen anbieter migriert, ist ein bisschen wie ein doofes kind, das sich die hand an der glühenden herdplatte verbrannt hat und sich dann sagt: vielleicht sind die anderen herdplatten ja weniger heiß, wenn sie so hübsch rot glühen.

P’litische neuland-gestaltungsidee des tages

Bundesjustizministerin Katarina Barley (SPD) fordert, dass Nutzer von Messengerdiensten wie WhatsApp miteinander kommunizieren können

m(

Was tun die senkkopfzombies denn sonst die ganze zeit außer zu kommunizieren?

Und nein, ich glaube nicht, dass hier frau Barley die blöde ist, sondern ein praktikant im wochenendmodus in der karl-wiechert-allee. Die forderung nach offenen schnittstellen hätte man auch weniger missverständlich ausdrücken können.

Selbst dann ist die gute frau Barley aber noch ein bisschen deppert, denn eine offenlegung der schnittstellen führt noch lange nicht dazu, dass man miteinander kommunizieren kann. Dafür muss erst — achtung, triviale aussage folgt hier — jemand softwäjhr schreiben. Und dann diese frage, was eigentlich mit den menschen ist, die kein wischofon haben — das fratzenbuch-angebot whatsäpp ist an eine telefonnummer gebunden, und genau dieses merkmal führte zum erfolg von whatsäpp, weil es sich problemlos in die schon vorhandenen adressbücher auf den wischofonen integrierte, ohne dass vom nutzer noch einmal neue daten zusammengewischt werden mussten. Dieser ansatz lässt sich aber nur schwer in andere IM-protokolle (wie etwa dezentrales XMPP) übernehmen. Letztlich würde er sogar dazu führen, dass überall ein personenbezogenes datum mit rausposaunt werden müsste (die telefonnummer), wo ich bislang prächtig ohne ausgekommen bin. Oder anders gesagt: endlich kann dieses whatsäpp vom fratzenbuch auch eine menge metadaten von menschen einsammeln, die gar nicht beim whatsäpp vom fratzenbuch sind. Und das soll mir dann ermöglichen…

Kunden sollten zu Angeboten wechseln können, „die bessere Datenschutzstandards haben, und trotzdem in ihrer WhatsApp-Gruppe bleiben“, sagte Barley in dem Interview

…die „besseren datenschutzstandards“ auszuwählen? Tolle idee! Wirksam wie ein brechmittel. Kompetenzfrei wie die BRD-p’litik. Von vollidjoten für unwissende. Dumm wie scheiße. CDUCSPDU eben.

Übrigens gibt es eine schnittstelle, mit der man — ganz genau so, wie frau Barley von der hochkompetenten SPD es hier einfordert — schon seit jahrzehnten völlig unabhängig vom proweider miteinander kommunizieren kann: die gute alte mäjhl. Bei bedarf lässt sich sogar eine wirksame verschlüsselung draufpropfen (wenn man private schlüssel auf einem möglicherweise trojanifizierten wischofon speichern mag). Und es geht sogar ohne wischofon. Und es geht sogar für blinde und schwer körperbehinderte menschen. Und es gibt jede menge softwäjhr ohne jede überwachung und ohne mitgelieferte trojanerfunkzjon dafür. Aber dafür ist die generazjon wischofon zu gleichgültig und zu doof geworden — und wird an den zwangsschulen des staates, der solche digitalbeglückungsideen wie etwa diese scheißidee von frau Barley hervorbringt, weiterhin doof gehalten. Warum? Weil doof dümmer und teuer kauft, und das ist gut für die wirtschaft…

Elektronische krankenkarte des tages

Erbarmen!

eGK soll als ELGA smartphonetauglich werden

Ich wünsche euch viel spaß dabei, eure gesundheitsdaten über solche datensicherheitsalbträume wie eure schon mit werksseitig vorinstallierten trojanern ausgestatteten wischofone laufen zu lassen! Was kann dabei schon schiefgehen?

Hej, aber hauptsache, jeder betreiber einer webseit fühlt sich in der BRD zurzeit wie jemand, der mit einem bein im knast steht und mit der hand auf der anderen seite die existenzbedrohende abmahnung aus dem briefkasten zieht, nur, weil er ein paar informazjonen zu seinem hobby veröffentlicht oder ein paar persönlich gefärbte anmerkungen zum tagesgeschehen von sich gibt. Da muss man ja nicht auch noch die gesundheitsdaten von menschen vor irgendwas schützen. Das wäre ja wirklich zu viel verlangt!!!1!elf!

Aber vollidjoten kann man eben alles andrehen.

via @gehrke_test@libranet.de.

Web- und datenschutzspezjalexperte des tages

Der preis „verrostetes schwert im kampf für menschenrechte im digitalzeitalter“ geht an den vor allem bei scheißjornalisten sehr beliebten und von diesem pack stets als blogger und internetzexperte vorgestellten Sascha Lobo, der mit allen seinen spezjalexpertenkenntnissen noch nicht dazu imstande ist, freie schriftarten auf seinem eigenen sörver selbst zu hosten und deshalb lieber einen flapsig formulierten und seine leser verhöhnenden, vorsätzlich intelligenzverachtenden absatz für seine datenschutzerklärung getippselt hat.

Möge ihm ein aufgeweckter elfjähriger mal in aller ruhe erklären, wie das mit dem selbsthosten von schriftarten geht, wenn man die vom brauserbenutzer (meist aus gutem grund) eingestellten standardschriftarten mit etwas eigenem überschreiben will. Und ja: die schriftarten in guhgell fonts sind frei und dürfen so genutzt werden.

Achtung! Keine satire! Nicht der postilljon!

Hier eine weitere digitalkompetenzextraknallgranate aus der BRD-parteienoligarchie mit bummstag-hintergrund beim zwitschern über netzwerktechnik:

Kandidatin für den „goldenen facepalm“ des jahres 2018.

„Github“ des tages

Ein spezjalexperte auf „github“ so: hej Linus, du hast da long long geschrieben, ich habe das unnütze doppelte wort mal für dich rausgelöscht.

Wer nicht C proggt und es nicht sofort versteht: long long ist ein datentyp in C.

Spam und security des tages

Nutzt hier jemand antivirus-programme?

Lieber schwerbehinderte mitmenschen…

Liebe schwerbehinderte mitmenschen,

die frakzjon der „alternative für deutschland“ im deutschen bundestage möchte mal kurz wissen, ob eure eltern miteinander verwandt sind. Denn gemäß neuesten wisschenschaftlichen erkenntnissen der AFD-frakzjon entsteht schwerbehinderung durch inzucht, und zwar vor allem durch inzucht von „menschen mit migrazjonshintergrund“ — dies ist das wegen der formulierung der förmlichen anfrage leider erforderliche, formaldeutsche wort für „nichtarier“.

Nur für den unwahrscheinlichen fall, dass diese perle des parlamentarismus in der BRD verloren gehen sollte, habe ich hier auch noch eine lokale kopie der kleinen anfrage der AFD-frakzjon.

„Cyber cyber“ des tages

Wisst ihr noch, der bundeshäck? Nein, nicht der vorletzte, sondern der letzte. Der, der total harmlos war, weil er völlig unter kontrolle war (obwohl niemand zu sagen wusste, ob er noch weiterläuft) und bei dem die „häcker“ nur sex dokumente des auswärtigen amtes mitnehmen konnten.

Das scheint doch ein bisschen mehr mitgenommen worden zu sein, denn die bummspolizei hat jetzt strafanzeige erstattet, weil etliche anmeldedaten… ähm… irgendwoanders zu datenreichtum führten. Und jetzt erfährt man auch endlich mal, was für unsere ganzen cyber-cyber-komiker in der BRD-p’litik so ein häckerangriff ist, für den natürlich nur die pösen pösen russen in frage kommen:

Laut der Zeitung geht die dem Bundesinnenministerium unterstellte Polizeieinheit davon aus, dass die Angreifer mit Phishing-Mails rund 3000 Zugangsdaten von Bundespolizisten für ein Portal der zunächst betroffenen Hochschule des Bundes (HS Bund) beziehungsweise der am gleichen Ort sitzenden Bundesakademie für öffentliche Verwaltung (BAköV) in Brühl erbeutet haben

Müsst ihr verstehen: jemanden eine (hoffentlich wenigstens leidlich personalisierte) mäjhl zu schicken, wo irgendein bullschitt gefolgt von einem „klicken sie hier“ drinsteht (oder ein trojaner zum klicke-klicke-aufmachen dranhängt), das ist das neue häcken. Was ich nicht schon alles an „häckerangriffen“ erlebt habe!!elf!!!1!1!

So, und jetzt noch eine kleine zusatzaufgabe für angehende hobbyadministratoren: wenn ihr einen neuen sörver aufsetzt, wann vergebt ihr ein selbstgewähltes und gutes passwort für das administratorkonto auf dem sörver?

[ ] Sofort nach der installazjon des betrübssystemes
[ ] Nicht sofort, aber bevor der sörver ans netzwerk geht
[ ] Gar nicht, wenn es ein vorgabepasswort gibt, das muss ja sicher sein…

Dreimal dürft ihr raten, was administratoren in lohn und brot der bummsverwaltung hier geantwortet hätten:

Zusätzlich verwies das DFN-Cert darauf, dass in Standardinstallationen von Ilias bekannte Zugangsdaten für den Benutzer „root“ verwendet und Administratoren der Software „zu keiner Zeit im Installationsvorgang zu einer Änderung des Passworts aufgefordert werden“. Es sollte daher sichergestellt werden, dass das Standardpasswort für dieses weitreichende Konto nicht verwendet werde

Oh, hl. scheiße! Einmal ganz davon abgesehen, dass womöglich sogar ein sshd durch die firewall gelassen wurde, der eine anmeldung als root ermöglicht hat, wenn das nicht mit einem trojaner erledigt wurde… m(

Fehlt nur noch, dass das vorgabepasswort changeme gelautet hat.

Meikrosoft des tages

Na, nutzt hier jemand windohs sieben?

Klar, ihr habt das alle schon bei Fefe gelesen, aber der vollständigkeit halber und weil heise onlein so ein passendes symbolfoto ausgewählt hat, hier nochmal:

Sicherheitspatches gegen Meltdown haben eine neue, riesige Sicherheitslücke in Windows 7 aufgerissen […] Die Updates stoppen zwar Meltdown, reißen jedoch eine neue gefährliche und vergleichsweise einfach ausnutzbare Sicherheitslücke auf […] Aufgrund der Verwundbarkeit soll jeder Prozess — auch ohne Admin-Rechte — den kompletten Inhalt des Kernelspeichers mit sehr hoher Geschwindigkeit auslesen können […] sogar Schreibzugriff auf den Kernel

Die haben bei meikrosoft ja nur ein halbes jahr zeit für ihren pätsch gehabt… unter so einem zeitdruck kann ja mal ein kleines fehlerchen passieren… m(

Übrigens gibt es immer wieder probleme mit dem automatischen aufspielen der sicherheitsaktualisierung vom märz 2018, die dieses problem fixt. Viele dürften sie zurzeit noch gar nicht haben.

Denen, die tiefgläubig und fest auf die kompetenz von meikrosoft vertrauen, wünsche ich auch weiterhin viel spaß mit ihren kompjutern.

Nur echt mit fratzenbuch-klickeknöpfchen…

…kannste dir mal wieder gar nicht selbst ausdenken, sowas! m(

Kwelle des bildschirmfotos: internetz¹.

Ach ja, Fefe hat gerade ein interwjuh zu der sache gegeben, das in diesem kontext durchaus verlinkenswert ist. Einen kleinen nichtnachtrags-nachtrag hat er auch noch. Und Hadmut Danisch hat auch ein paar warme worte für die ganzen aufmerksamkeitshuren gefunden

¹Gerade die tagesschau-redakzjon fällt mir immer wieder durch verzicht auf jegliche kwellenangaben bei „entnahmen aus dem web“ auf…

Ist hier jemand bei „attac“?

Das scheinen aber nicht die hellsten leuchten im lampenladen zu sein. (Und ich dachte immer, dass „attac“ bei näherem kontakt den eindruck einer weit über den wirklichkeiten schwebenden, um sich selbst kreisenden p’litsekte erweckt, liege an der hannöverschen ortsgruppe.)

Heise onlein verblödet seine leser

Oh, symantec — eine klitsche, die damals in jedem webbrauser als CA für die ausgabe von TLS-zertifikaten eingetragen war — stellte einfach unter nicht näher geklärten umständen 30.000 TLS-zertifikate an irgendwelche gestalten aus. (Die könnten sich dann zum beispiel völlig unbmerkt und mit schlösschen in der adresszeile des webbrausers als guhgell ausgeben, wenns ein TLS-zertifikat für google punkt com ist. Oder als deutsche bank, wenns ein TLS-zertifikat für deren domäjhn ist.) Gesichert ist zum beispiel das ausstellen von zertifikaten an geheimdienste im nahen osten, die dann mit einer (bei verwendung von TLS an sich unmöglichen) MITM-attacke dissidenten ausspioniert haben. Wie viele menschen auf grundlage dieser bewusst herbeigeführten schwächung von kryptografie ermordet wurden, ist natürlich unklar¹.

Und, wie erklärt das ehemalige fachmagazin heise onlein das seinen lesern? Ganz einfach: guhgell ist voll pöse und macht einen „rachefeldzug“, wenn sein webbrauser keine zertifikate dieser unseriösen klitsche namens „symantec“ mehr akzeptiert. m(

Hej, das war kein „einzelner kleiner fehler“. Das waren eher so 30.000 einzelfälle. In einem system, dass vollständig auf das vertrauen der zertifizierungsstellen aufgebaut ist. Das ist, wenn man mich fragt, ja schon kaputt genug, vor allem, wenn man mal vom brauser die liste der CAs anzeigen lässt. Aber wenn eine CA das vertrauen missbraucht, dann gibt es darauf nur eine antwort: den vollständigen entzug des vertrauens. Ansonsten kann man sich den ganzen TLS-scheiß auch gleich schenken (und viel rechenzeit sparen, die auf dem sörver und im webbrauser für aufwändige kryptografie draufgeht).

Hat sich denn in der karl-wiechert-allee heute niemand anders gefunden, der wenigstens eine spur von sach- und fachkenntnis hat? Oder hat heise inzwischen bei der erstellung von clickbait jeden maßstab verloren?

¹Ja, ich weiß: das waren unter-CAs. Aber diese wurden von symantec ermächtigt und nicht kontrolliert. Verantwortlich ist allein symantec. Was meint ihr wohl, was einem hausmeister passierte, der seinen generalschlüssel an dritte verleiht, wenn hinterher das haus leergeklaut wurde…

Aber linux ist doch sicher…

Abteilung: spaß mit den dümmsten fehlern in linux.

Wie kann man jemanden, der linux mit KDE-desktop nutzt und von der sicherheit seines linuxrechners tiefgläubig überzeugt ist, mal so richtig den tag versauen? Ganz einfach: ein datenzäpfchen nehmen, darauf ein VFAT-dateisystem schreiben (windohs-anwender lesen hier: es als VFAT-formatieren) und den datenträger als $(rm -rf ~) benennen. Ja, richtig. Der name des datenträgers ist das kommando zum rekursiven löschen des benutzerverzeichnisses, umgeben vom bash-kwoting für die ersetzung mit der ausgabe bei ausführung eines befehles.

Man kann natürlich auch backticks nehmen, also `rm -rf ~`, das ist dann auch kompatibel zur ollen bourne-shell¹ und spart ein zeichen. Aber auch die zehn zeichen der lesbareren schreibweise passen locker in die elf zeichen, die man platz hat.

Auf das datenzäpfchen zum beispiel ein paar harmlose dateien draufspielen und dem KDE-freund das datenzäpfchen in die hand drücken.

Nach möglichkeit rasch vom KDE-freund entfernen, denn der könnte explodieren. 😀

Ohren offenhalten. Wenn er zu weinen beginnt, hat es geklappt… 👿

m(

via Fefe

Auch POSIX mit korn-shell ermöglicht $(...).

Schlangenöl des tages

Woran erkennt meikrosofts defender jetzt irgendwelche schadsoftwäjhr, die den CPU-fehler „spectre“ ausnutzt? Richtig: an ein paar zeichenketten mit text im programm und nicht etwa an irgendwas im programmkohd. Da sind die ganzen verbrecher auf dieser welt jetzt völlig machtlos geworden, denn auf die idee, einfach andere texte als im original-exploit zu verwenden, kommen die nie!!!!1!!1!!elf!!1!

Ja, meikrosoft prüft wirklich auf einen verdammten string! Auf so eine schwachsinnige idee muss man erstmal kommen. Die ist selbst für meikrosofte verhältnisse ungewöhnlich bescheuert.

Ich wünsche allen schlangenölnutzern auch weiterhin viel spaß mit ihrer vom jornalistenonkel in der schleichwerbung und vom reklamelügner in der offenen reklame versprochenen gefühlten sicherheit! Glaubt einfach schön weiter an den ganzen lügenhokuspokus „heuristik“, „KI“, „verhaltensanalyse“, mit dem ihr euch das schlangenöl andrehen lasst, erlaubt dem schlangenöl schön, weitere klaffende sicherheitslöcher in eure rechner zu reißen und fühlt euch wohl dabei, wenn ihr euch in doofheit und leichtgläubigkeit suhlt, als wärt ihr esoteriker! (Aber macht wenigstens halbwegs regelmäßig verdammte sicherungskopien! Bitte! Die werden nämlich am ende eure einzige rettung sein.)