jesus christ, comics, fantasy, science fiction, partial preterist, better covenant theology
49 stories
·
2 followers

Soll noch mal jemand sagen, Wirtschafts-Heinis schafften ...

1 Share
Soll noch mal jemand sagen, Wirtschafts-Heinis schafften keine Arbeitsplätze!
World Economic Forum Davos: Escort-Agenturen bereits ausgebucht
Die bringen alleinerziehende Mütter durchs Studium! Edle Menschen, diese Wirtschafts-Heinis!1!!

Glaubt ihr mir nicht? Hier ist noch ein Datenpunkt:

Geschäftsfrauen, die an dem Treffen teilnahmen, seien von den Organisatoren wiederholt gewarnt wurden. Sie werden von wohlhabenden Männern “regelmäßig belästigt”, wobei das “Verhalten so häufig” sei, dass sie nicht allein zu den Veranstaltungen eingeladen werden.
Da seht ihr mal, was das für edle Menschen sind, diese Wirtschafts-Heinis. Die haben gesehen, dass bei ihnen regelmäßig Frauen belästigt werden, und haben daraufhin ... Frauen nicht mehr unbegleitet eingeladen. Problem gelöst!1!!

Ob sie den Teilnehmerinnen auch gesagt haben, sie sollen sich halt nicht so aufreizend kleiden?

Read the whole story
raShMan
17 days ago
reply
Germany
Share this story
Delete

Benutzt hier jemand Threema? Die Applied Cryptography ...

2 Shares
Benutzt hier jemand Threema? Die Applied Cryptography Group der ETH Zürich hat mal das Protokoll analysiert und mehrere gravierende Schwachstellen gefunden.

Das ist bemerkenswert, denn Threema hat bereits mehrere Audits hinter sich. Die haben aber offenbar eher auf Code-Qualität als auf die Protokolle geguckt, jedenfalls haben die diese Probleme nicht gefunden.

Threema hat in der Zwischenzeit ein neues Protokoll ausgerollt, das Forward Secrecy für die E2E-Krypto schaffen soll. Das war aber noch nicht Teil dieses Audits, kann also auch noch Probleme dieses Kalibers haben.

Sehr schön finde ich, dass hier wirklich ein Audit des Protokolls durchgeführt wurde, nicht bloß jemand einen Fuzzer laufen gelassen hat, wie es heute üblich zu sein scheint, besonders in akademischen Umgebungen, wo man so schnell und leicht Papers und Aufmerksamkeit generieren kann.

Ich mag auch die Lessons Learned von dem Team, u.a. "ordentliche Crypto-Libraries wie NaCl nehmen macht noch kein sicheres Protokoll". Und dann kommt folgende Lektion, die ich sehr wichtig finde:

Proactive, not reactive security: our inability to find an attack on a protocol does not imply it is secure. New attacks could be found at any moment and known attacks only get stronger over time if left unaddressed. Often, secure systems and protocols follow a design-release-break-patch process (a reactive approach). This is inconvenient for users and often requires the maintenance of backwards compatibility. Developers should instead adopt a proactive approach, where the system or protocol is formally analyzed during the design stage.
Ob nun formale Beweisführung hilft, sei mal dahingestellt. Ich bin da eher zurückhaltend in meinen Erwartungen, denn wenn der Beweis komplexer ist als das Protokoll, wieso trauen wir dann dem Beweis, wenn wir dem Protokoll nicht getraut haben?

Aber dass man Dinge vielleicht mal vor dem Release ordentlich machen sollte, und nicht diesen agile "ja klar ist es Scheiße aber wir patchen dann halt die übelsten Wunden im Feld nach" hat jetzt meiner Meinung nach echt genug Schaden angerichtet und kann mal in Rente gehen.

Wenn ihr Papers lesen könnt, lest nicht nur die Webseite sondern auch das Paper. Die kryptografischen Fehler, die die gemacht haben, sollten alle in ihr Repertoire aufnehmen, damit die niemand nochmal macht. Threema hat eine Stellungnahme veröffentlicht, die so defensiv geschrieben ist, dass sie es schafft, den Laden noch schlechter aussehen zu lassen als er eh schon rüberkam. Sie hätten auch einfach sagen können: Die Findings sind valide, wir haben Fehler gemacht, und es tut uns leid. Wir geloben Besserung. Stattdessen lauter "das ist doch bloß theoretisch" und "das betrifft die aktuelle Version nicht" (die, die nach dem Melden dieser Lücken veröffentlicht wurde!).

Ich weiß nicht, wie ihr das seht, aber ich erwarte von meinem sicheren Messenger, dass der Hersteller nicht herumverhandelt und kleinredet, wenn Lücken gefunden werden, sondern die fixed und ein Post-Mortem veröffentlicht, wie das durch ihre QA kommen konnte.

Read the whole story
raShMan
25 days ago
reply
Germany
Share this story
Delete

Ich krieg ja in letzter Zeit immer Kopfweh davon, wie ...

1 Share
Ich krieg ja in letzter Zeit immer Kopfweh davon, wie offensichtlich bescheuert die Leute sind. Wenn das wenigstens Irrtümer auf einem Niveau wären, wo man irgendwas argumentieren kann. Aber nein!

Mein aktueller Endboss in Sachen offensichtlich bescheuerter IT-Homöopathie ist Cloud-Verschlüsselung.

OK, kurzes Gedankenspiel. Ihr fahrt in den Urlaub und bittet den Nachbarn, eure Pflanzen zu wässern. Dafür gebt ihr ihm den Schlüssel.

Euch ist hoffentlich direkt sofort klar, und zwar ohne dass ich das irgendwie erläutern muss, dass der Nachbar ab dann in eure Wohnung kommen und Dinge tun kann. Schlüssel zurückholen hilft nicht, denn er kann einen Nachschlüssel angefertigt haben.

Wenn du einmal den Schlüssel weggibst, hilft nur Schlosstausch.

Aber was machen die Cloud-Leute jetzt? Die haben ja das Problem, dass deine Software auf ihrer Hardware läuft, und Software kann sich gegen Angreifer mit physischem Zugriff auf die Hardware nicht schützen. Prinzipiell nicht. Nicht "wir wissen nicht wie". Doch. Wir wissen. Geht nicht.

Software ist eine Liste von Dingen. Die gibt man der Hardware, und die führt die dann aus. Wenn jemand anderes die Hardware kontrolliert, kontrolliert er deine Software.

Da führt auch kein Weg dran vorbei. Daher wird DRM immer wieder geknackt, und deshalb führen Intel und ARM einen Krieg gegen ihre Kunden und nehmen ihnen schrittweise immer mehr der Kontrolle über die Hardware weg.

Was machen also die Cloud-Leute? Sie verdünnen Wasser! Hey, wir haben hier einen Knopf hingemacht. "Verschlüsselung aktivieren". Das ist ungefähr wie am Set von Star Trek der Knopf "Schilde aktivieren". Das tut nichts und jeder weiß es. Da ist kein Schild. Wir tun nur alle so.

Während wir bei Star Trek wenigstens unterhalten werden, ist das bei der Cloud einfach nur Beschiss. Wenn die Cloud verschlüsselt, dann hat die Cloud den Schlüssel. Mit dem kann man Ver- und Entschlüsseln. Solange der Cloud-Anbieter den Schlüssel jemals irgendwann auch nur kurz gesehen hat, ist das kein Schutz gegen den Cloud-Anbieter, und als genau das wird das ja gerade verkauft.

OK Fefe, das hilft dann vielleicht nicht gegen den bösen Admin beim Cloud-Anbieter, aber es hilft doch gegen den chinesischen Hacker, der die Cloud hackt? Nein, tut es nicht, denn die Cloud entschlüsselt das ja für dich. Wenn der sich als du einloggen kann, oder dir eine SQL Injection oder sonst was unterschieben kann, dann hat der vollen Zugang, genau wie ohne Verschlüsselung.

OK, aber hilft das denn wenigstens gegen die Putzhilfe vom iranischen Geheimdienst, die das Tape mit dem Backup klaut? Ja, wenn der Schlüssel nicht auf dem Tape ist, was erschütternd häufig der Fall ist. Aber wir reden hier nicht von Tapes sondern von S3-Buckets gerade. Die hängen am Web. Wieso würde jemand alte Backups haben wollen, wenn er Echtzeitzugriff kriegen kann?

Lustigerweise gibt es wie bei Homöopathie mehrere Verdünnungsstandards. Einige Cloud-Anbieter haben bloß eine Checkbox "Verschlüsselung anschalten". Der Schlüssel kommt von denen und bleibt bei denen.

Andere Anbieter lassen dich den Schlüssel erzeugen und hochladen. Spielt keine Rolle, denn sie müssen den ja nur einmal für eine Nanosekunde gesehen haben.

Noch andere Anbieter lassen dich einen "Vault" installieren (lacht nicht, ist ein echter Produktname), und dann holt sich die Cloud immer von dem Vault den Schlüssel, wenn sie ihn braucht. Impliziert, dass sie den nicht aufheben, aber das weißt du halt nicht. Ist alles dieselbe Scheiße.

Das ist alles Bauernfängerei. Fallt da nicht drauf rein.

Faustregel: Wenn dein Code auf jemand anderes Hardware laufen lässt, oder deine Daten auf jemand anderes Hardware liegen, ist es nicht mehr dein Code, sind es nicht mehr deine Daten.

Read the whole story
raShMan
25 days ago
reply
Germany
Share this story
Delete

Zum Jahresende stellt sich ja immer die Frage, ob das ...

2 Shares
Zum Jahresende stellt sich ja immer die Frage, ob das jetzt ein gutes oder ein schlechtes Jahr war. Die Stimmung scheint klar in Richtung "schlechtes Jahr" zu gehen.

Aber ich glaube, so einfach ist es nicht. Die Bewertung hängt davon ab, wie man sich selbst sieht. Um mal eine Videospiel-Analogie zu bringen: Sieht man sich als Protagonist oder als NPC?

Der NPC steht rum und erleidet Dinge, die ihm passieren. Er wartet darauf, dass ein Held kommt und ihn rettet. Aus dieser Sicht war das ein schlechtes Jahr. Viele Dinge sind passiert.

Aus Sicht des Protagonisten war das ein gutes Jahr. Die meisten Dinge, die passiert sind, hatten die Form "vorher ahnten wir, dass es kaputt ist, aber wir waren uns nicht sicher. Jetzt ist es zerbrochen und wir haben Gewissheit." Aus Sicht des Helden kann man jetzt etwas tun, weil man verstanden hat, dass es ein Problem gibt, und was es ist.

Unsere Infrastruktur hat sich als noch maroder herausgestellt als wir dachten. War irgendwie klar, aber nicht klar genug, als dass jemand was dagegen getan hätte. Je klarer ist, wie schlimm die Lage ist, desto weniger kommt die Regierung mit Aussitzen durch. Wir haben jetzt mehr Scheite für das Feuer unter ihrem Hintern.

Wir haben herausgefunden, dass das Militär kaputtgespart ist. Nicht nur unseres. Auch alle anderen Militärs. Finde ich sehr gute Nachrichten, muss ich euch sagen. Nicht nur in Deutschland und der EU. Auch das der Russen offenbar, und sogar die Amis haben gerade Probleme, den Rüstungsoutput so hochzuschrauben, dass sie die Ukraine in dem Ausmaß beliefern können, das die brauchen.

Das Ausmaß der Demilitarisierung unserer Zivilisation ist eine der besten Nachrichten dieses Jahrhunderts, wenn ihr mich fragt. Das war offensichtlich alles größtenteils Herumposieren. Das waren PR-Armeen, nicht Kriegführ-Armeen.

Dann Covid. Startete als "wir werden alle sterben"-Seuche und ist jetzt so gut im Griff, dass ernsthaft eine Debatte losgeht, ob wir überreagiert haben. Dazu fand ich den Witz im aktuellen Programm von Jimmy Carr sehr treffend. Er fragt das Publikum: Findet ihr, dass wir bei Covid überreagiert haben? Das Publikum so: JAAAA. Er so: Das finden viele der Überlebenden.

*Tusch*

Leute, an Covid sind Millionen von Menschen gestorben! Das sah nicht nur aus wie eine "wir werden alle störben"-Seuche, das war auch eine! Man muss schon unfassbar ignorant sein, damit sich diese Frage überhaupt stellt.

Die Supply Chains sind geplatzt und das hat uns gezeigt, dass wir nicht die Lagerhaltung komplett hätten rückbauen sollen. Das Zeitalter des billigen Erdgases ist überraschend angezählt, und zwar Jahrzehnte früher als es durch den Klimawandel erzwungen worden wäre. Auch das ist eine gute Nachricht. Plötzlich hört den Bedenkenträgern gegen Solar und Wind keiner mehr zu. So hätte das schon seit Jahren sein sollen eigentlich, wenn wir nicht so dumm und phlegmatisch wären.

Die neue Regierung hat sich als genauso scheiße wie die davor herausgestellt. Wer davon überrascht ist, für den muss das wohl die erste miterlebte Wahl gewesen sein. Neu war die Größe der Lügen im Koalitionsvertrag, aber dass sie uns da belügen ist auch nichts neues.

Ich sehe mich jedenfalls als Protagonist, nicht als NPC. Ich finde nichts unbefriedigender als den Gedanken, dass wir alle sterben und nichts dagegen hätten machen können. Eine Alien-Invasion oder so. Der Fuß Gottes kommt runter und stampft uns alle tot. Der Planet verlässt spontan die Umlaufbahn und rast von der Sonne weg. Da sind mir Szenarien lieber, die wir hätten erkennen und verhindern können. Dann hatten wir wenigstens Handlungsspielraum.

Klar ist das immer noch doof, wenn wir den dann nicht nutzen, weil wir alle dumm sind. Aber wenn ich die Wahl habe zwischen "du hast einen Herzinfarkt" und "du machst morgen einen sehr riskanten Bergsteigenausflug", dann lieber letztes. Da hab ich wenigstens eine Chance, mein Ableben zu verhindern.

Aus meiner Sicht haben wir dieses Jahr viel Klarheit gewonnen, zu Dingen, die die ganze Zeit schon Scheiße waren, aber wir wollten oder konnten es nicht sehen.

Read the whole story
raShMan
36 days ago
reply
Germany
Share this story
Delete

Der Vorschlag der GFF mit den Accountsperren ist übrigens ...

1 Share
Der Vorschlag der GFF mit den Accountsperren ist übrigens nicht ganz so übel wie es auf den ersten Blick aussieht. Sie wollen, dass ein Richter den Account sperrt. Aus Sicht eines Richters wie dem GFF-Vorsitzenden ist das sicher eine wirksame Maßnahme. Für alle anderen in der Praxis halt nicht.

Richter müssen angeordnete Maßnahmen nämlich nicht begründen. Die kommen schon mit Begründung auf dem Antrag. Der Richter muss nur noch unterschreiben.

Will der Richter allerdings ablehnen, dann muss er begründen. Die Anreize für Ablehnen sind also deutlich negativ. In der Praxis wird daher so gut wie nichts abgelehnt.

Die Begründung für Accountsperren als Maßnahme ist:

Accountsperren sind wirksam, denn sie setzen keine Klarnamen voraus, erfordern keine unnötigen Überwachungsmaßnahmen, sind rechtsstaatlich sauber und zügig umsetzbar.
Finde ich nicht nachvollziehbar. Wieso sollte das wirksam sein? Macht der Troll halt einen anderen Account auf. Die einzigen, die an ihren Accounts hängen, sind die Opfer, die da soziale Netze mit aufgebaut haben. Marodierende Trolle haben keine Netze, die ihnen wertvoll wären. Jedenfalls nicht auf den Plattformen, auf den sie herumtrollen.

Es gibt natürlich auch auf den Plattformen Leute, die Freunde haben, und die das Verlieren ihres Accounts inkommodieren würde. Das sind aber nicht Hassredner sondern Leute, deren Meinung einem nicht gefällt. Die sind gefälligst auszuhalten in einer fucking Demokratie!

Und wenn sie jemanden tätlich bedrohen oder beleidigen, den Holocaust leugnen oder zu Pogromen aufrufen, dann IST DAS JETZT SCHON STRAFBAR.

Lasst mich mal kurz skizzieren, wie ein Rechtsstaat reagieren könnte. Du beleidigst mich. Ich erstatte Anzeige. Die Polizei geht zu dem Plattformbetreiber und erklärt Interesse an dem Account. Das nächste Mal, wenn den jemand benutzt, gibt der Betreiber die IP an die Polizei weiter, die holt sich damit die Identität vom Internetprovider, und dann kriegt derjenige ein ordentliches Verfahren.

Hilft natürlich nicht gegen ausländische Trollfarmen und Trolle, die immer per Tor o.ä. "arbeiten". Bei denen kann man dann von mir aus eine Accountsperrung vornehmen, aber hilft halt genau gar nichts. Machen die sich halt neue Accounts auf.

Ja aber Fefe, was wenn derjenige einfach behauptet, er sei gehackt worden, er war das gar nicht? Dann lacht man ihn aus und nimmt ihn in Störerhaftung. Wieso ist das bitte bei Raubmordkopien ein völlig legitimes Mittel aber hier soll das plötzlich nicht gehen?! Im Übrigen kann man da ja auch ein bisschen Ermessensspielraum haben. Das kannst du ja an den vorherigen Äußerungen eines Accounts sehen, ob das ein Hack war oder ob der die ganze Zeit so rumaast.

Read the whole story
raShMan
51 days ago
reply
Germany
Share this story
Delete

Die reaktionären BMW-Fahrer-Betonköpfe von CDU und ...

2 Shares
Die reaktionären BMW-Fahrer-Betonköpfe von CDU und AfD haben ja angesichts der existenziellen Bedrohung ihrer freien Fahrt durch mit Klebstoff bewaffnete Klimaaktivisten die Frage gestellt, ob man da nicht "Notwehr" leisten könne als an seiner freien Fahrt gehinderter Klimakiller, äh, Autofahrer.

Thomas Fischer erklärt das mal und kommt auf das Ergebnis, dass eine Straßenblockade eine Nötigung und damit notwehrfähig ist. Es gibt natürlich eine Haufen von zu berücksichtigenden Faktoren, und Notwehr heißt natürlich nicht, dass man die Demonstranten jetzt verprügeln darf. Auch wegtragen ist nur erlaubt, wenn nicht die Polizei zeitnah für Linderung sorgt.

Interessanterweise macht es erst das Festkleben notwehrfähig, wenn ich das richtig verstehe, weil es die Intention verbrieft, eine längerfristige Blockade durchzuführen.

Ich finde das ausgesprochen schade, dass Fischer hier weiter an der Eskalationsspirale dreht, anstatt dass mal irgendwer einfach anfängt, den Kids zuzuhören, deren Zukunft hier die Autofahrer vorsätzlich zerstören.

Wieso ist denn das nicht anders herum als Notwehr zu betrachten? Wenn jemand vor meinem Grundstück Gift versprüht, kann ich das ja auch abstellen. Oder nicht?

Read the whole story
raShMan
58 days ago
reply
Germany
Share this story
Delete
Next Page of Stories