Einloggen
[c] [meta] [fefe]

/fefe/ – Fefes Kommentarfunktion

Antwort erstellen

(≤ 4)



[Zurück]
  • [l] Ich erzähle ja schon seit Jahrzehnten, dass Security-Zertifizierungen ... Effe ## Mod Thu, 21 Mar 2024 13:33:50 GMT Nr. 114832
    fefe_nakamoto.jpg
    JPG 800×584 152.2k
    Ich erzähle ja schon seit Jahrzehnten, dass Security-Zertifizierungen nicht nur wertlos sondern sogar ein Indikator für schlechte Security sind. Wer das macht, kümmert sich nicht um Security sondern um Checkboxen und Compliance-Listen.

    Ein aktueller Fall illustriert das ganz gut: SuSE Linux Enterprise Server 15 SP4 hat eine BSI-Zertifizierung gekriegt [0]. Ausgestellt am 15.12.2023.

    Die benutzen OpenSSL 1.1.1. Das war zu dem Zeitpunkt bereits seit Monaten End-of-Life [1]. Das steht auch im auf Dezember 2023 datierten Report drin [2], dass sie OpenSSL 1.1.1 verwenden.

    Deren OpenSSH hat glaube ich auch noch keine Post-Quantum-Crypto drin. Weiß da jemand genaueres? War jedenfalls nicht Teil des Tests.

    So, meine Damen und Herren, sieht Compliance-Sesselfurzerei aus. Kostet viel Geld, bringt weniger als nichts.

    Wenn sich bei euch jemand damit bewirbt, dass er ein BSI-CC-Zertifikat habt, dann wisst ihr hoffentlich spätestens ab jetzt, was ihr von dem zu halten habt.

    [0] https://www.bsi.bund.de/SharedDocs/Zertifikate_CC/CC/Betriebssysteme/1213.html
    [1] https://www.openssl.org/blog/blog/2023/03/28/1.1.1-EOL/index.html
    [2] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Zertifizierung/Reporte/Reporte1200/1213b_pdf.pdf?__blob=publicationFile&v=2

    https://blog.fefe.de/?ts=9b02f7cd
  • [l] Update Effe ## Mod Thu, 21 Mar 2024 13:54:27 GMT Nr. 114837 
    @@ -12,0 +13,2 @@
    +[b]Update[/b]: Das Produkt selbst hatte übrigens am 31. Dezember 2023 End-of-Life [3], also weniger als einen Monat nach Zertifizierung (außer man zahlt LTSS).
    +
    @@ -15,0 +18 @@
    +[3] https://www.suse.com/de-de/lifecycle/#suse-linux-enterprise-server-15

  • [l] Felix Thu, 21 Mar 2024 16:41:19 GMT Nr. 114854
    >Another option is to purchase a premium support contract which offers extended support (i.e. ongoing access to security fixes) for 1.1.1 beyond its public EOL date. There is no defined end date for this extended support and we intend to continue to provide it for as long as it remains commercially viable for us to do so (i.e. for the foreseeable future).
    Woher weiss Fefe dass SuSE keinen solchen "premium support contract" hat?
  • [l] Felix Thu, 21 Mar 2024 16:44:26 GMT Nr. 114855
    >Deren OpenSSH hat glaube ich auch noch keine Post-Quantum-Crypto drin.
    Beschwert sich über Bullshitcompliance und bringt dann sowas.
  • [l] Felix Thu, 21 Mar 2024 20:20:09 GMT Nr. 114872
    >>114832
    >Wenn sich bei euch jemand damit bewirbt, dass er ein BSI-CC-Zertifikat habt, dann wisst ihr hoffentlich spätestens ab jetzt, was ihr von dem zu halten habt.
    Ohne erfolgreich abgebrochenes Studium in Mathematik und Informatik würden wir den eh nicht einstellen.
  • [l] Felix Fri, 19 Apr 2024 09:15:51 GMT Nr. 116819
    Sehr geehter Vorstand des Dietchan-Imageboards,

    Ich möchte meine tiefgreifenden Bedenken bezüglich der aktuellen Positionierung unseres Antwortformulars äußern und hiermit eine Überarbeitung dieser Konfiguration beantragen. Es scheint mir einleuchtend sinnvoll, dass diesen kritischen Baustein zukünftig unterhalb des Hauptthreads platzieren zu lassen - aus mehreren Gründen:

    1) Effiziente Nutzung der Scroll-Distanz – Eine Verschiebung unseres Antwortformulars würde eine bedeutende Optimierung darstellen. Durch die neue Position können Benachrichtigungen effektiver eingesehen werden, ohne dass es zu einer überschüssigen Belastungsübertrag erfolgt oder der Lesefluss beinträchtigt wird - etwas worauf wir in unserer Gemeinschaft sehr viel Wert legen.
[Zurück]
[c] [meta] [fefe]
Proudly made without PHP, Java, Perl, MySQL, Postgres, MongoDB and Node.js.
Quellcode