„Open source“ des tages

Legt eure daten ins internetz, haben sie gesagt. Dort sind sie sicher und ihr könnt von überall drauf zugreifen, haben sie gesagt.

Der Schweizer Android-Entwickler Till Kottmann hat […] eine Reihe von Datenlecks aufgespürt, die unbeabsichtigt Zugang zu Quellcode offenlegen. Von den Schwachstellen betroffen sind rund 50 Firmen unterschiedlichster Branchen wie Finanzen, Technologie, Einzelhandel, Fertigung und eCommerce. Die Datenlecks finden sich den Forschern von Bank Security zufolge nicht nur bei einigen Banken und Anbietern von Identitäts- und Zugriffsverwaltung, auch namhafte Unternehmen wie Microsoft, Lenovo, Nintendo, AMD, Motorola, Disney sowie die Huawei-Tochterfirma Hisilicon sind wohl betroffen […] Mitunter seien in dem Code auch hart kodierte Zugangsdaten enthalten

Och! :mrgreen:

Wer braucht eigentlich noch die pösen russischen und chinesischen häcker mit ihren industriespionahscheambizjonen, wenn die kronjuwelen einfach im internetz veröffentlicht werden. Der trend geht doch zur offenheit!!elf!1!!

Ich will mal hoffen…

Ich will mal hoffen, dass meikrosoft in den nächsten jahren nicht von münchen nach kiel umzieht

Man beachte übrigens, dass im ganzen artikel von „open source“ die rede ist, aber nicht von „freier softwäjhr“. Diese sprache kann inkompetenz sein, sie kann aber auch propagandistische absicht sein.

„Volxverschlüsselung“ und krüpplografie des tages

Könnt ihr euch noch an diesen bullschitt von fraunhofer, an diese geradezu bildzeitungsmäßig angepriesene „volxverschlüsselung“ mit dem ganz besonders windigen verfahren zur schlüsselerzeugung, erinnern?

Das dingens ist jetzt „open source“. Jedenfalls behaupten die PR-lügner vom fraunhofer-institut das, obwohl das dingens eben nicht offen und schon gar nicht frei ist, aber deshalb sind PR-lügner ja auch PR-lügner:

In einer E-Mail erklärt das SIT darüber hinaus: „Es gibt noch keine Entscheidung zur genauen Lizenzart.“ Da die Volksverschlüsselung bereits seit mehr als einem Jahr in Entwicklung ist und damit beworben wird, künftig als Open Source zur Verfügung zu stehen, wirkt dies eher irritierend

Lasst euch nicht verarschen, leute! Die so genannte „volxverschlüsselung“ ist DE-mäjhl 2.0 und enthält mit an sicherheit grenzender wahrscheinlichkeit eine eingebaute hintertür für den staatlichen lauschangriff und noch schlimmere attacken.

„Open source“ ist sicher…

Mitmensch „denkt“ ja manchmal so: „open source“ ist sicher und fehler werden ganz schnell beseitigt, weil viele leute in die kwelltexte reinschauen und fehler beseitigen. Außer manchmal, wenn ein kleiner fehler im x-sörver erst nach zwanzig jahren entdeckt wird

Faszinierend ists übrigens, wer da hinten in der karl-wiechert-allee alles so texte ins CMS tippen darf. Da wird man ja glatt zum meikrosoft-fänn, wenn man die folgende aussage liest:

Mit dem Erhalt des Patches für die Lücke arbeiten die Entwickler nun daran, diesen nun auch in die kommenden XServer-Versionen 1.15.0 und 1.14.4 einzupflegen. Bis diese Versionen den Weg zum Endbenutzer finden, kann es je nach Betriebssystem allerdings eine Weile dauern. Die meisten Linux-Distributionen aktualisieren zentrale Komponenten wie den Xserver nur mit der Veröffentlichung von ordentlichen Hauptversionen

Das ist natürlich kwatsch. Aber ein autor, der mutmaßlich noch nie das wort „backport“ gehört hat, kann es wohl nicht besser wissen. Sollte das fehlerchen auch nur teoretisch ausbeutbar sein, wird der pätsch natürlich auch in die älteren versjonen eingepflegt und demnächst gibts für viele nutzer frische, neue x.org-paketchen an den sicherheitsbewussten RPM- und DEB-empfangsgeräten — und ob das fehlerchen ausbeutbar ist, gehört zu den dingen, die sich genau in diesem moment ganz viele, teilweise gut eingearbeitete und recht kompetente leute mit den kwelltexten vor augen anschauen. Wenn man einen absturz provozieren kann, weil ein pointer in die wildnis zeigt, bin ich mir ohne blick in die kwelltexte allerdings schon sehr sicher, dass man daraus in einem angriff noch viel mehr machen könnte.

So ein heise-autor, der nicht weiß, was ein „backport“ ist, meldet dann auch lieber schlachtzeilenträchtige 20 jahre sicherheitsloch und nicht, dass es nur zwei tage gedauert hat, den fehler zu beseitigen, als er bei den entwicklern erst einmal bekannt war. Falls „fab“ hier mitliest: dieses „damals noch X.org“ hieß übrigens im damaligen damals „XFree86“ (und in seiner konfigurazjon viel durchschaubarer als heute) — der x-sörver ist für uns alle neuland… 😀