Einloggen
[c] [meta] [fefe]

/fefe/ – Fefes Kommentarfunktion

[0] [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15]

  • [l] Lacher des Tages:Bundesamt für Verfassungsschutz und ... Effe ## Mod Wed, 28 Aug 2024 12:14:56 GMT Nr. 132087
    JPG 570×321 66.4k
    Lacher des Tages [0]:

    >Bundesamt für Verfassungsschutz und Bitkom fordern stärkere Cybersicherheit

    Na das sind ja genau die richtigen!

    >Der IT-Verband Bitkom und das Bundesamt für Verfassungsschutz sehen Deutschlands Wirtschaft akut bedroht und erachten Expertise im eigenen Land notwendig​.

    Bitkom, wir erinnern uns, hat gegen das Verbot von Datenhandel lobbyiert, weil es ja Bürger gebe, die mit Werbung zugespammt werden wollen. Bitkom hat auch argumentiert, DE-Mail brauche keine Ende-zu-Ende-Verschlüsselung, weil das ja ein "extremes Sicherheitsniveau" wäre, das brauche doch kaum jemand. Bitkom feierte auch Politiker, die weniger Datenschutz und mehr Datenreichtum forderten. Bitkom fand nicht, dass man Mindest-Security per Regulator vorschreiben muss, sondern forderte mehr Meldepflichten (wissenschon, Datenreichtum!). Was für ein Clown-Laden Bitkom ist, sieht man ganz gut an folgender Veranstaltung [1]:

    >AI & Data Summit and Quantum Summit will take place on 25 and 26 September 2024 live at Kosmos Berlin.

    Mir fällt nur schwer jemand ein, den man noch weniger ernst nehmen kann als die.

    Außer, natürlich, den Verfassungsschutz. Diese Organisation wollte uns Trojaner auf den Endgeräte spielen, und dafür Exploits kaufen. Das ist echt nicht zu fassen, dass ausgerechnet diese beiden Player jetzt so tun, als seien sie an mehr Cybersicherheit interessiert.

    Bleibt nur noch eine offene Frage. Sind die nur böswillig oder auch bestürzend inkompetent und uninformiert? Hier ist ein Hinweis:

    >Die Professionalisierung der Angreifer bereitet dem Verfassungsschutz große Sorgen. "Zero-Day-Schwachstellen spielen eine ganz zentrale Rolle", warnte Selen, das BfV beobachte eine Industrialisierung der Angreifer.

    Nein. Tun sie nicht. Eine Lücke ist nicht Zero-Day, nur weil du Klappspaten den Patch noch nicht ausgerollt hast. Eine Lücke ist Zero-Day, wenn es keinen Patch gab, den du hättest ausrollen können.

    Der Bitkom vertritt übrigens Firmen wie Microsoft, Amazon und SAP. Daher werden die nie empfehlen, dass man Windows rauskantet und nicht in die Cloud zieht. Stattdessen kolportieren sie tolle Ideen wie diese hier:

    >Die Trennung etwa von SAP-Systemen eines Konzerns zwischen deutschen und chinesischen Standorten sei betriebswirtschaftlich eigentlich nicht sinnvoll, aber notwendig, solange es keine Alternativen gebe. Diese Restrukturierung entlang der Supply Chain finde aber zunehmend statt.

    Was heißt hier Problem? Profit-Gelegenheit für SAP!

    Das ist alles so eine Farce!

    [0] https://www.heise.de/news/Bundesamt-fuer-Verfassungsschutz-und-Bitkom-fordern-staerkere-Cybersicherheit-9850162.html
    [1] https://aidaq.berlin/

    https://blog.fefe.de/?ts=9831d303
  • [l] Felix Wed, 28 Aug 2024 12:15:45 GMT Nr. 132088
    Ich freue mich so sehr auf den Tag an dem die alle im Knast landen.

  • [l] Ein Vögelchen zwitschert mir gerade dieses unterhaltsame ... Effe ## Mod Thu, 18 Jul 2024 20:16:12 GMT Nr. 128222
    JPG 414×414 37.8k
    Ein Vögelchen zwitschert mir gerade dieses unterhaltsame Mozilla-Ticket [0].

    Also ... unterhaltsam für Leute, die gerne der Telekom beim Verkacken zugucken. Das ist ein Dumpster Fire vom Feinstern, das da brennt.

    Die Telekom-CA hat ungültige Zertifikate ausgestellt. Das war vor sechs Monaten.

    [0] https://bugzilla.mozilla.org/show_bug.cgi?id=1877388

    https://blog.fefe.de/?ts=9867b761
139 Antworten nicht angezeigt.
  • [l] Felix Fri, 23 Aug 2024 21:11:28 GMT Nr. 131743
    >>131739
    Habe auch auf crt.sh gesucht. Nix.
    >>131740
    Obfuskieren die was?
  • [l] Felix Fri, 23 Aug 2024 21:13:20 GMT Nr. 131744
    >>131740
    Wat? Sie sagen erst, es wären 194 Zertifikate. Dann weist einer auf die doppelten hin, und dann sind es nur noch 98. Und die SHA-256-Hashes sind keine.

    https://bugzilla.mozilla.org/show_bug.cgi?id=1914020#c1
  • [l] Felix Fri, 23 Aug 2024 21:27:56 GMT Nr. 131745
    Die finden wir schon in der DB
    https://crt.sh/?caid=138
  • [l] Felix Wed, 28 Aug 2024 10:39:27 GMT Nr. 132080
    Neuer Bug!

    https://bugzilla.mozilla.org/show_bug.cgi?id=1914383

  • [l] Verwendet hier jemand Intel SGX?Das ist ja schon länger ... Effe ## Mod Mon, 26 Aug 2024 20:18:56 GMT Nr. 131916
    PNG 751×1007 532.0k
    Verwendet hier jemand Intel SGX [0]?

    Das ist ja schon länger zombifiziert und es gibt überhaupt nur noch zwei Anwender: Signal und Crypto-Bros, die damit irgendwelche Flim-Flam-Hexerei veranstalten, damit sie dir ins Gesicht lügen können, ihr Code laufe in einer gesicherten Umgebung ab und sei nicht manipuliert.

    Die sichere Umgebung musst du ihnen halt glauben, aber woran erkennst du, dass das nicht manipuliert ist? Nun, Intel hat da einen Mechanismus, der eine digitale Signatur von dem Code in der Enklave macht, zu einem voll super vertrauenswürdigen Intel-Cloud-Service hochlädt, und dem musst du halt trauen. Weil ist ja Intel. Wem kann man denn bitte trauen wenn nicht Intel?!

    Die Signatur wird mit einem privaten Schlüssel gemacht, der nur in der Enklave ist, und der über Fuses provisioniert wird auf dem Chip, wo dann die Bits durchgebrannt werden, die 0 sein sollen in dem Key. Und den kann ja niemals nie nicht jemand extrahieren, weil das ist ja Hardware und so.

    Nun … hier hat jemand den Key extrahiert. *hutlüpf*

    [0] https://x.com/_markel___/status/1828112469010596347/photo/1

    https://blog.fefe.de/?ts=9832226f
15 Antworten nicht angezeigt.
  • [l] Felix Wed, 28 Aug 2024 05:11:51 GMT Nr. 132076
    https://www.theregister.com/2024/08/27/intel_root_key_xeons/

    Intels Antwort ist bullshit. SGX soll mich ja nicht vor dritten schützen, sondern even vor dem Clownbetreiber.
  • [l] Felix Wed, 28 Aug 2024 09:12:31 GMT Nr. 132077
    Sag mal Felicitas, wie ist das eigentlich beim Konkurrent AMD? Werden die Erweiterungen der Zen-Ära, mit der ein Gastsystem Speicher gegen den Zugriff durch den Hypervisor verschlüsseln kann, schon aktiv genutzt, bzw. gab es schon dagegen Angriffs-Versuche?
    https://www.amd.com/en/developer/sev.html
    (drin bevor irrelevant, weil die meiste mietbare x86-Rechenleistung immer noch Intel-basiert ist)
  • [l] Felix Wed, 28 Aug 2024 10:16:33 GMT Nr. 132078
    >>132077
    Die sind genauso scheiße wie bei allen anderen Herstellern, die versuchen, das Gerät vor seinem eigenen Eigentümer zu schützen. Das ist grundsätzlich Krebs.
  • [l] Felix Wed, 28 Aug 2024 10:27:04 GMT Nr. 132079
    >>132077
    Alle modernen CPU sind angreifbar und es gibt bestenfalls Mitigierung.
    https://www.heise.de/news/RAM-Verschluesselung-in-AMD-Epyc-nicht-sicher-pruefbar-4594130.html

    Habe das nicht mehr verfolgt. EPYC ist ja bereits top of the line.

  • [l] Die gute Nachricht: VW will keine Autos mehr verkaufen.Gottlob! ... Effe ## Mod Mon, 26 Aug 2024 14:07:12 GMT Nr. 131875
    PNG 810×516 126.5k
    Die gute Nachricht: VW will keine Autos mehr verkaufen.

    Gottlob! Dann kann die Natur vielleicht zu heilen anfangen!

    Die schlechte Nachricht: Sie wollen stattdessen ein Abomodell fahren [0].

    Früher hätte ich sie jetzt ausgelacht. So blöde sind selbst VW-Kunden nicht, hätte ich gelacht. Jetzt bin ich mir da nicht mehr so sicher.

    Wenn es eine Bevölkerungsgruppe gibt, die sowas mit sich machen lässt, dann sind es VW-Käufer.

    [0] https://winfuture.de/news,144756.html

    https://blog.fefe.de/?ts=98324b9d
14 Antworten nicht angezeigt.
  • [l] Felix Tue, 27 Aug 2024 18:37:08 GMT Nr. 132048
    >>132047
    Tolle Gegend..
    https://maps.app.goo.gl/X1AFutAAZEKk1FSr7
  • [l] Felix Tue, 27 Aug 2024 19:32:52 GMT Nr. 132055
    PNG 899×300 36.3k
    >>132039
    >>132041
    Lachs! Schizofelix weiß schon nicht mehr, was er selber hier bereits vor einem halben Jahr pfostiert hat.
    Diesmal aber plötzlich nichts mit KI.
  • [l] Felix Tue, 27 Aug 2024 20:18:11 GMT Nr. 132069
    >>132039
    Hallo Weltuntergangsvollidiot :3
    Aber dieses Mal wirklich, oder? Die letzten 20 Jahre hatten wir nur Glück gehabt.
  • [l] Felix Tue, 27 Aug 2024 20:37:55 GMT Nr. 132073
    >>132069
    https://www.jw.org/de/jehovas-zeugen/oft-gefragt/was-glauben-zeugen-jehovas/

  • [l] Jetzt kommen hier lauter Leute an und erzählen mir ... Effe ## Mod Tue, 27 Aug 2024 18:12:43 GMT Nr. 132040
    JPG 1000×656 121.6k
    Jetzt kommen hier lauter Leute an und erzählen mir ihre Gigabit-Geschichten. Wie irgendwelche Anbieter kamen und Gigabit versprachen und dann kam es nie.

    Ja, Leute, das nennt sich Subventionsbetrug. Das ist kein Problem der Landbevölkerung. Hier in der Innenstadt Berlins lief das auch so.

    Eine Telekom-Drückerkolonne kam vorbei, erzählte den Nachbarn was von Gigabit und Glasfaser und Innovation und Zukunft, und als dann nichts passierte und einer von denen nachfragte und ordern wollte, da logen sie dem dann ins Gesicht, dass irgendeine Erlaubnis gefehlt hätte. Das war vor Monaten. Hier ist immer noch keine Gigabit-Glasfaser.

    Die Bundesregierung hat Ziele angesagt und Geld ausgelobt, und alle Anbieter haben sofort Listen mit Namen von Interessierten gesammelt. Ich vermute mal, die ausgeschüttete Förderkohle hing von der Anzahl der Interessenten ab.

    Niemand hatte da jemals das Ziel, euch allen Gigabit-Glasfaser zu legen, schon gar nicht auf dem Land aber auch nicht in der Stadt.

    Die hatten das Ziel, möglichst viel staatliche Förderkohle abzugreifen, und die dann in ihrem Verwaltungs-Wasserkopf versickern zu lassen.

    https://blog.fefe.de/?ts=9830d659
  • [l] Felix Tue, 27 Aug 2024 18:19:28 GMT Nr. 132044
    Komisch bei mir im Ort klappt es mit der Giganetz. Ich sehe den Ausbau täglich. Es ist alles angeschlossen:
    1) Von Haus bis Boardstein
    2) von Boardstein bis Verteiler
    3) von Verteiler bis Hauptverteiler
    4) nächste Phase sind Keller bis Wohnung

    Bleibe aber bei 250 Mbit/s VDSL2, weil Giganetz mir zu teuer ist. Wenn die Exklusivrechte ablaufen und Fremdfirmen das Glasfasernetz nutzen dürfen wird alles billig!

    in ca. 2 Jahren
  • [l] Felix Tue, 27 Aug 2024 19:58:29 GMT Nr. 132059
    >>132044
    >Boardstein
  • [l] Felix Tue, 27 Aug 2024 19:59:24 GMT Nr. 132060 SÄGE
    >>132059
    Von imageboard?
  • [l] Felix Tue, 27 Aug 2024 20:12:27 GMT Nr. 132066 SÄGE
    >>132044
    Hier machen sie nur wochenlange Parkverbote ohne zu bauen. Und dann nochmal. Und falls sie doch mal irgendwo bauen, baggern sie die Koaxkabel durch. Danke für nichts, ihr Wichser.

  • [l] Ein Leser weist auf diese Ankündigung von Uberspace ... Effe ## Mod Tue, 27 Aug 2024 18:07:42 GMT Nr. 132036
    PNG 500×506 266.8k
    Ein Leser weist auf diese Ankündigung von Uberspace [0] (ein deutscher Webhoster) hin. Die erzählen da, dass sie so viel Traffic von irgendwelchen "KI"-Bots haben, die natürlich alle grossflächig robots.txt ignorieren und immer aggressiver werden, dass sie immer härtere Filter konfigurieren müssen.

    Sie haben da ein paar Statistiken, dass einige ihrer VMs zu 50% nur mit Bot-Traffic ausgelastet sind.

    Ich bin ja auch immer gerne und früh mit dabei, "KI"-Bros zu bashen, aber an dieser Stelle finde ich das nicht in Ordnung. Das ist ein Hoster. Deren Angebot, für das sie sich von ihren Kunden bezahlen lassen, ist dass sie ihren Content hosten. Wenn das von ein paar gammeligen "KI"-Bots beeinträchtigbar ist, dann müssen die halt dickere Hardware kaufen. Finde ich.

    Insbesondere weil die da PHP in VMs hosten. Das sind gleich zwei nicht so schlaue Technologieentscheidungen. Typische Wordpress-Sümpfe sind bekannt für ihre grauenhafte Ineffizienz, weil die Leute sich am besten auch noch einen Rattenschwanz an leprösen Plugins installieren. Dann hast du bei einem Aufruf der Hauptseite 50 SQL-Anfragen im Hintergrund. Das ist ein Multiplikator, der nicht sein muss.

    Mein Blog hat eine Anfrage im Hintergrund.

    Also, Uberspace. Wenn ihr da von ein paar freidrehenden wget-Armleuchtern in Bedrängnis zu bringen seid, dann kauft mal dringend ein paar dickere Server.

    Ja aber DDOS DDOS KRIMINELLE ENERGIE denkt ihr euch jetzt vielleicht. Nein. Nix DDOS. Nicht das Netzwerk ist ausgelastet. Die CPU in ihren VMs.

    Am Anfang erzählen sie noch, dass sie ja früher ganz viele Angreifer hatten, die die RPC-Endpunkte von Wordpress bespielt haben, bevor "KI" das Problem war. Das ist auch eine selbst zugefügte Wunde. Dann macht halt nicht Wordpress. Drops gelutscht.

    Das ändert natürlich alles nichts daran, dass diese "KI"-Bros Arschlöcher sind, denen mal schleunigst der Stecker gezogen werden sollte. Ich glaube, dass die so aggressiv sind jetzt, weil sie zusehen können, wie eine Webseite nach der anderen sie wegfiltert. Ist bald vorbei.

    [0] https://blog.uberspace.de/2024/08/bad-robots/

    https://blog.fefe.de/?ts=9830d406
  • [l] Felix Tue, 27 Aug 2024 18:14:32 GMT Nr. 132042
    JPG 3179×2754 2.9M
    Warum schreibt Hefe alle Beiträge am Dienstag?

    >dass sie so viel Traffic von irgendwelchen "KI"-Bots haben, die natürlich alle grossflächig robots.txt ignorieren und immer aggressiver werden, dass sie immer härtere Filter konfigurieren müssen
    Robots.txt ist ja auch tot du Kasper!

    <https://developers.google.com/search/docs/crawling-indexing/robots-meta-tag?hl=de
    X-Robots-Tag im header, schon gehört? Nein. Weil dein Server kot ist:
    >https://www.ssllabs.com/ssltest/analyze.html?d=blog.fefe.de&latest

    >Das ist ein Hoster. Deren Angebot, für das sie sich von ihren Kunden bezahlen lassen, ist dass sie ihren Content hosten. Wenn das von ein paar gammeligen "KI"-Bots beeinträchtigbar ist, dann müssen die halt dickere Hardware kaufen. Finde ich.
    Würde erklären, warum Borncity jeden Tag um die selbe Zeit so lahm wird.

    >Insbesondere weil die da PHP in VMs hosten.
    >am besten auch noch einen Rattenschwanz an leprösen Plugins installieren.
    Eben, Borncity mit Wordpress.

    >Ja aber DDOS DDOS KRIMINELLE ENERGIE denkt ihr euch jetzt vielleicht. Nein. Nix DDOS. Nicht das Netzwerk ist ausgelastet. Die CPU in ihren VMs.
    Bei dem ganzen singlecore VPS-Müll, ja.

    >die die RPC-Endpunkte von Wordpress bespielt haben
    Da hat jeder Zugriff drauf?!

    >Dann macht halt nicht Wordpress. Drops gelutscht.
    Ditto.

    >Das ändert natürlich alles nichts daran, dass diese "KI"-Bros Arschlöcher sind, denen mal schleunigst der Stecker gezogen werden sollte.
    Fair use, GenX'ler ;)

    >Ich glaube, dass die so aggressiv sind jetzt, weil sie zusehen können, wie eine Webseite nach der anderen sie wegfiltert. Ist bald vorbei.
    Haha glaube kaum das man die ohne Vorschaltserver und loadbalancer noch wegkriegt.

    Bester Beitrag im Blog heute.
  • [l] Felix Tue, 27 Aug 2024 18:21:03 GMT Nr. 132045
    und zum x-robots-tag im header muss dass in das html:
    <meta name="robots" content="none">
  • [l] Felix Tue, 27 Aug 2024 18:58:37 GMT Nr. 132051
    >>132042
    >Robots.txt ist ja auch tot du Kasper
    >>132045
    >und zum x-robots-tag im header muss dass in das html
    Würde von den KI-Brüs allerdings auch ignoriert werden.

    >>die die RPC-Endpunkte von Wordpress bespielt haben
    >Da hat jeder Zugriff drauf?!
    Felix hat nachgeschaut und konnte das nicht beantworten, hat aber gefunden:
    >XML-RPC is a feature of WordPress that enables data to be transmitted, with HTTP acting as the transport mechanism and XML as the encoding mechanism. Since WordPress isn’t a self-enclosed system and occasionally needs to communicate with other systems, this was sought to handle that job.
    >For example, let’s say you wanted to post to your site from your mobile device since your computer was nowhere nearby. You could use the remote access feature enabled by xmlrpc.php to do just that.
    >The core features that xmlrpc.php enabled were allowing you to connect to your site via smartphone, implementing trackbacks and pingbacks from other sites, and some functions associated with the Jetpack plugin.
    Das stammt aus der utopischen Zeit, als "trackbacks" und "pingbacks" für miteinander kommunizierenden Blogs noch als taugliche Idee angesehen wurden. So als ob der eigene Blog ein "Agent" (im Sinne von user agent) im Internet sei, der von anderen "Agenten" benachrichtigt wird, wenn jemand anderes den eigenen Blog referenziert. Erinnert an die (ziemlich untauglichen) Ideen vom Semantic Web / Web 3.0, mal als der heißeste Scheiß gehandelt. Stattdessen gabs Gesichtsbuch.

    >Eben, Borncity mit Wordpress.
    Ein Umzug auf statische Seiten + Kommentarfunktion via umgebasteltem Diätkanal wäre dringendst angebracht!
    Drinvor /born/ wenn ein bestimmtes kardiovaskuläres Ereignis /fefe/ beenden sollte.
  • [l] Felix Tue, 27 Aug 2024 19:15:08 GMT Nr. 132053
    GIF 498×274 3.3M
    >>132051

    >Das stammt aus der utopischen Zeit, als "trackbacks" und "pingbacks" für miteinander kommunizierenden Blogs noch als taugliche Idee angesehen wurden. So als ob der eigene Blog ein "Agent" (im Sinne von user agent) im Internet sei, der von anderen "Agenten" benachrichtigt wird, wenn jemand anderes den eigenen Blog referenziert.
    Oh man, Komfort über alles statt Sicherheit.

    >Erinnert an die (ziemlich untauglichen) Ideen vom Semantic Web / Web 3.0, mal als der heißeste Scheiß gehandelt. Stattdessen gabs Gesichtsbuch.
    Gut ich will den Leuten ja auch nicht meine Seite für Maschinen öffnen sondern Menschen.

    >Ein Umzug auf statische Seiten + Kommentarfunktion via umgebasteltem Diätkanal wäre dringendst angebracht!
    Wenn er sich allein durch Spenden finanzieren könnte vielleicht.
    Im Moment sieht es ja bitter aus :c

    Danke für den Exkurs!

  • [l] Lacher des Tages:Parody site ClownStrike refused to ... Effe ## Mod Tue, 06 Aug 2024 21:32:56 GMT Nr. 129907
    JPG 300×302 12.2k
    Lacher des Tages [0]:

    >Parody site ClownStrike refused to bow to CrowdStrike’s bogus DMCA takedown

    Bonus: Die Site war gehostet bei ... Clownflare! Und ist jetzt aus DMCA-Gründen umgezogen, und zwar zu Hetzner nach Finnland.

    [0] https://arstechnica.com/tech-policy/2024/08/parody-site-clownstrike-refused-to-bow-to-crowdstrikes-bogus-dmca-takedown/

    https://blog.fefe.de/?ts=984c553e
39 Antworten nicht angezeigt.
  • [l] Felix Tue, 27 Aug 2024 16:43:59 GMT Nr. 132015
    >>132012
    Netcup ist eine inkompetente Provinz-Pfuscherbude
  • [l] Felix Tue, 27 Aug 2024 18:08:26 GMT Nr. 132037
    >>132026
    https://www.youtube.com/watch?v=xgYWF_TCe7I
    Das könnte dir gefallen.

  • [l] Das Lobbyregister des Bundestags hat ein Positionspapier ... Effe ## Mod Tue, 27 Aug 2024 17:57:12 GMT Nr. 132032
    JPG 424×323 18.7k
    Das Lobbyregister des Bundestags hat ein Positionspapier der Automobilindustrie [0]. Die sind mit den Cybersecurity-Auflagen und der Gesetzeslage unzufrieden.

    >Fahrzeughersteller sind heute verpflichtet, durch Penetrationstests Sicherheitslücken ihrer Produkte zu identifizieren und zu beseitigen. Sowohl für mit der Durchführung solcher Tests beauftragte Spezialisten als auch für unabhängig agierende, ethische Sicherheitsforscher besteht dabei nach heutiger Gesetzeslage jedoch die Gefahr, sich strafbar zu machen.

    Ach. Ach was! Sag bloß. Hätte doch nur damals jemand den Bundestag gewarnt, bevor sie dieses Schrottgesetz erlassen!1!! Ihr wisst schon, so ein CCC-naher Blogger mit Security-Background am besten!

    Aber das soll hier bitte nicht so klingen, als sei die Automobilindustrie im Recht. Absolut nicht. Die machen sich mit dem Positionspapier nackig.

    Konkret sagen sie nämlich, dass sie vor allem Sorgen um White-Hat-Hacker haben, die für sie kostenlos freiwillig unbezahlt ohne Entlohnung auf eigene Rechnung in ihrer eigenen Freizeit ihre Produkte auf Sicherheitslücken absuchen -- und die dann aber nicht veröffentlichen sondern schön demur und devot dem Hersteller melden, damit der da solange drauf sitzen kann wie er will. Das ist nämlich viel billiger als wenn man ein paar Profis einstellt. Und hey, man kann auch Spendierhosen anhaben und ein paar Brotkrumen Bug Bounty ausschütten, das ist immer noch eine Größenordnung billiger.

    Warum ist das so viel billiger? Weil das kein Prozess ist. Ein regulärer Security-Prozess hat das Ziel, die Security zu verbessern, und danach sagen zu können, wieviel Abdeckung sie hatten, wie schlimm alles ist, und wieviel besser es wird, wenn man die Bugs hier jetzt fixt.

    Die Automobilindustrie hat keinen Bock, tatsächlich Security zu machen. Sie würden viel lieber einfach Mails von Leuten kriegen, die ihnen Bugs in ihrer Software schenken, wo sie anderswo Geld für in die Hand nehmen müssten. Und dann dem Gesetzgeber und dem Regulator ins Gesicht zu lügen, man habe ja Security gemacht jetzt.

    Nota bene: Bei Bug Bounty trägt der Bugsucher das Risiko, seine Zeit zu verschwenden, ohne etwas gefunden zu haben, und er hat quasi per Definition nicht den Quellcode und keine Architekturdokumentation. Der wird also im Allgemeinen eher oberflächlich und automatisiert suchen, und vielleicht ein paar Tage manuell hier und da mal hinfassen, ob es bröselt beim Anfassen.

    Wenn IRGENDWO IRGENDEIN Bug Bounty Typ etwas finden kann, ist das kein Zeichen dafür, dass Security besser wurde, sondern dass der Ist-Zustand wirklich abgrundtief schlecht ist.

    Wird noch schlimmer. Die Automobilindustrie möchte auch nur Tests an Autos legalisieren. Autos, die der Kunde gekauft hat. Die sein Eigentum sind. Die wollen nicht legalisieren, dass Leute ihre Backendsystem schief angucken. Ja, so beschissen ist bei uns die Gesetzeslage, dass man sich Sorgen machen muss, wenn man sein eigenes Eigentum untersucht.

    Wieso überhaupt das Positionspapier? Es ist m.W. noch kein Bug-Bounty-Aktivist wegen Hackerparagraph verfolgt worden. Das kann ich nur so interpretieren, dass die Autoindustrie enttäuscht ist, wie schlecht die Ausbeute von den Bug-Bounty-Programmen ist. ACH. ACH WAS. Die Leute wollen gar nicht auf eigenes Risiko erst ein Auto kaufen müssen, um es dann zu untersuchen, und auf der Reparatur sitzenzubleiben, wenn sie es versehentlich bricken? Also DAMIT konnte ja wohl NIEMAND rechnen!
    Vollständigen Text anzeigen
  • [l] Felix Tue, 27 Aug 2024 17:57:50 GMT Nr. 132033
    JPG 376×400 39.0k
    Jetzt dreht er komplett durch!

  • [l] Leserbrief:aus eigener Erfahrung (grade live erlebt): ... Effe ## Mod Tue, 27 Aug 2024 14:01:12 GMT Nr. 131981
    PNG 570×671 370.6k
    Leserbrief:

    >aus eigener Erfahrung (grade live erlebt): die Arztpraxis im Nachbardorf *erweitert* massiv die Sprechzeiten. Fast Faktor zwei!
    >
    >Das ist doch mal ne gute Nachricht? Mehr Arzt auf dem Land?
    >
    >Fast.
    >
    >Grund ist die Schliessung der Zweit-Praxis "draussen" auf den Dörfern.
    >
    >Nicht wegen Personalmangel. Nein.
    >
    >Wegen der Datenanbindung.
    >
    >Mit Einführung des E-Rezepts war die Praxis nicht mehr betreibbar. Laufend Verbindungsabbrüche mit teilweise 10min Resync (Sicherheit, wissense ja), verlorengegangene E-Rezepte, Support-Anrufe teilweise im Viertelstundentakt.
    >
    >Ergo: grade ältere Mitbürger, die nicht mobil sind, müssen jetzt 20km fahren, weil es die fucking Telekom nicht hinkriegt, eine Praxis über DSL auf dem Land anzubinden.
    >
    >Und ich vermute mal, dass E-Rezepte weniger Bandbreite brauchen als Video bei Amazon Prime.
    >
    >Ja, warum eigentlich nicht dann so einen Router mit SIM-Karte?
    >
    >Antwort der Ärztin: "wenn ich auf Hausbesuch bin, bin ich abgetaucht für die Praxis, nicht erreichbar. Ich rufe teilweise vom Festnetz der Patienten in der Praxis an und frage, ob akut was ansteht...."
    >
    >Für die Stammpraxis läuft es (noch) - bis es an die erweiterten digitalen Sachen geht (Elektronische Patienten Akte). Da steht schon im Raum: wenn die kommt, und keine Glasfaser da ist, wird dichtgemacht.
    >
    >Datenpunkt hierzu: Glasfaser wurde 2022 massivst beworben per Telekom, 2023 sollte sie da sein... aktueller Termin (aber *nur* mit Buchung eines Glasfaser-Tarifs) Mitte 2025. Also... falls alles gut geht. Und Putin nicht noch mehr Glasfaserwerke in der Ukraine bombardiert (Aussage Telekom Support).

    Ja, meine Damen und Herren. Richtig gelesen.

    Die Telekom gefährdet in Deutschland mehr Menschenleben als der Islamische Staat.

    https://blog.fefe.de/?ts=98331b9d
9 Antworten nicht angezeigt.
  • [l] Felix Tue, 27 Aug 2024 17:02:02 GMT Nr. 132022
    >E-Rezept
    Es gibt auch Null gute Gründe, warum man das nicht einfach per QR-Kot mit Signatur des Arztes erledigt hat und dafür jede Menge schlechte.
  • [l] Felix Tue, 27 Aug 2024 17:16:43 GMT Nr. 132023
    >>132022
    Du denkst zu kompliziert:
    Offline EMV geht bei girocard Zahlungen auch. Warum kein Offline E-Rezept? Reicht doch, wenn 1 mal pro Woche das Terminal am Netz ist.
    Signiert ist signiert.
    Rezepte sind ja ~28 Tage gültig.
  • [l] Felix Tue, 27 Aug 2024 17:27:56 GMT Nr. 132025
    >>132023
    Maschinenlesbar ist schon ganz nett. Und da ist ein QR-Kot eine recht brauchbare Wahl. Offline ist eh klar.
  • [l] Felix Tue, 27 Aug 2024 17:53:43 GMT Nr. 132029
    JPG 1000×750 564.9k
    JPG 750×563 101.0k
    >>132025
    Würde mir auch gefallen, aber die wollen ja nichts mehr drucken.
    Lass uns bitte noch gestörter werden!
    https://www.apotheke-adhoc.de/nachrichten/detail/apothekenpraxis/warenwirtschaft-die-zukunft-der-lochkarte/
    Was wir alles sinnlos aufgegeben haben!

  • [l] Exchange hält Bild-Anhänge für Malware.Gut, bei ... Effe ## Mod Tue, 27 Aug 2024 14:11:12 GMT Nr. 131986
    JPG 232×231 43.3k
    Exchange hält Bild-Anhänge für Malware [0].

    Gut, bei der Qualität von Microsoft-Software sind Bild-Anhänge wahrscheinlich tatsächlich gefährlich und eine potentielle Malware-Ingress-Route.

    Aber der wichtigere Punkt hier ist: Exchange sabotiert mehr Mail-Zustellungen als die Bahn-Kabelbrand-Arschlöcher Bahnverbindungen.

    Der Einsender meint dazu: wer Outlook einsetzt will eh keine Mail empfangen.

    [0] https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-online-mistakenly-tags-emails-as-malware/

    https://blog.fefe.de/?ts=98331e86
4 Antworten nicht angezeigt.
  • [l] Felix Tue, 27 Aug 2024 15:06:17 GMT Nr. 131996 SÄGE
    Andersrum. Wer den Quelloffen-Dreck einsetzt will keine Mail empfangen. Ohne Exchange/Office 365 arbeiten wirklich nur die schlimmsten und peinlichsten Butzen von Nichtskönnern, es ist ein etablierter Standard.

    Der Krebsmongo soll erstmal zeigen, wie er mit seinem Dreck-Loonix ohne immense Kosten sowas wie eine Windows-Domäne baut, dann sehen wir weiter. Was für eine wertlose, dumme, inkompetente Missgeburt. Was hat der fette, dumme, hässliche Mann überhaupt für eine Qualifikation? Behinderte Loonix-Krebser haben keine Ahnung vom Leben. Hässliche quelloffen-Spastenmongos einfach totklopfen mit ihren behinderten hässlichen Thinkpads. Wertlose Untermenschen.
  • [l] Felix Tue, 27 Aug 2024 15:09:22 GMT Nr. 131997
    >>131996
    Ah pünktlich wie vorhergesehen ist der Freigänger vor 17:30 aus der Psychiatrie im Faden mit dem Sonderschuldeutsch.
    >säger
    negiert
  • [l] Update Effe ## Mod Tue, 27 Aug 2024 16:56:12 GMT Nr. 132020
    @@ -8,0 +9,12 @@
    +[b]Update[/b]: Einem Leser ist noch dieser tolle Satz aufgefallen:
    +
    +>"We're reviewing service monitoring telemetry to isolate the root cause and develop a remediation plan."
    +
    +Das hat Microsoft ihren Kunden und der Presse gesagt.
    +
    +Und das, meine Damen und Herren, passiert, wenn man "KI" in der Security einsetzt. Der Satz ergibt überhaupt keinen Sinn, und zwar gleich auf mehreren Ebenen nicht. Telemetrie sind Daten über die Gesundheit der Systeme, mit denen du vor der Katastrophe erkennen kannst, dass etwas schief läuft, und so die Katastrophe verhinderst. Jedenfalls in der Theorie. So wurde uns das verkauft. Tatsächlich ist Telemetrie natürlich "wir saugen alle Daten auf und pumpen sie in unsere Cloud Storage, in der Hoffnung, dass irgendwann mal jemand eine Idee hat, was wir damit machen können". Dass die Telemetrie nach Hause schicken und trotzdem regelmäßig sowas passiert, sollte eigentlich die beste Begründung sein, jede Telemetrie in Richtung Microsoft abzuklemmen, und zwar sofort. Ihr zahlt dafür noch Netzwerktraffic, das ist euch schon klar, oder?
    +
    +Dann "isolate the root cause", das tust du natürlich auch nicht mit Telemetrie, sondern indem du Test cases durchprobierst, und wenn du einen hast, dann den subtil zu variieren, bis du einen minimalen Trigger hast, der nur noch eine Erklärung zulässt, wo das Problem liegt.
    +
    +"remediation plan" ist an Bösartigkeit grenzende Unfähigkeit, das fällt euch hoffentlich selber auf. Der remediation plan ist, dass sie anfangen, ihre Software vor der Auslieferung zu testen. Geht leider nicht mehr, weil ihr CEO die Tester alle rausgeschmissen hat. Zu der großen Überraschung aller Industriebeobachter hält das die Kunden nicht davon ab, weiter deren Produkte zu kaufen, auch wenn die sich im Produktiveinsatz wie scharfe Handgranaten verhalten.
    +

  • [l] Felix Tue, 27 Aug 2024 16:57:51 GMT Nr. 132021
    >Ihr zahlt dafür noch Netzwerktraffic, das ist euch schon klar, oder?
    Nein, in der zivilisierten Welt hat man keine Quota. Außer man ist freiwillig bei AWS.


[0] [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15]
[c] [meta] [fefe]