Datenschützer: Google Analytics verletzt Nutzerrechte - tja. Irgendwo war diese Einstufung ja durchaus vorhersehbar. Bin ja mal gespannt, was da so in der nächsten Zeit noch zu kommt. Ob Google da einlenkt, ich glaubs ja eher nicht. Und selbst wenn - wie glaubhaft wäre eine (nicht überprüfbare!) Versicherung von Google?
sysadmin - 15.2.2008 - 9.7.2008
VMware tauscht CEO aus - und wieso haben die ihren CEO nicht einfach virtualisiert?
Apple just gave out my Apple ID password because someone asked - autsch. Ganz schwaches Bild, Apple.
Drobo - klingt nicht uncool, das Teil. Datenredundanz auf Array-Ebene bei Einsatz von heterogenen Plattenkonfigurationen, das ist schon nett. Klassische Arrays haben ja oft das Problem, dass nur gleiche Plattengrössen verwendet werden (grössere Platten haben dann halt ungenutzten Freiraum), weshalb ein Aufstocken der Kapazität zwingt, alle Platten zu tauschen. Sowas wie der Drobo ist da natürlich deutlich flexibler, und hinter der Time Capsule wärs auch noch ein recht praktisches Gerät. Und auch der Preis nicht wirklich erschreckend hoch - wenn man bedenkt, was man dafür bekommt.
WikidBASE - interessanter Mix aus Wiki und strukturierter Datenbank. Gefunden beim Schockwellenreiter.
ICANN und IANA Defacements - die Domains der Domainzentrale zeitweilig geklaut. Autsch.
Graphite - klingt sehr interessant, ein Paket zur Visualisierung von Zahlenreihen über Zeit. Im Prinzip das, was RRDTool mal werden wollen würde, wenn es gross wäre. Möglicherweise eine gute Alternative für Munin in unserem Monitoring. Und es ist Python Code.
iPhone 3G: T-Mobile verspricht unbegrenzte VPN-Nutzung - das argumentative Schlingern von T-Mobile ist einfach nur lächerlich und beweist, dass der Laden keinen blassen Schimmer hat, was a) Kunden heute erwarten und b) das iPhone eigentlich darstellt und bietet. Aber zum Glück gilt auch c) - T-Mobile ist einfach zu dämlich um wirkungsvoll irgendwas zu verbieten oder einzuschränken. Trotzdem würden die sich mit ihrem Verhalten locker zum Gespött der Branche machen, wenn die Konkurrenten nicht noch dämlicher und lächerlicher wären.
AVG ist ne Schweinesoftware - weil es bei Suchanfragen auf die Suchergebnisse im Hintergrund Zugriffe macht, um ihre eigenen albernen Malware-Scanner darauf anzusetzen, bevor der User überhaupt entscheidet, ob er einen der Links besuchen will. Und bläst damit den Webtraffic auf - und tarnt dann auch noch diese Zugriffe als normale User-Zugriffe - Weblogs gefälscht, Zugriffsstatistiken verzerrt, Webtraffic rauf - und alles nur für den Verkauf irgendwelchen digitalen Schlangenöls ...
Keylogger in JavaScript mit IE bis Version 8beta - autsch. Das tut weh. Und ich frage mich mal wieder, warum man selbst bei Firefox so essentielle Funktionen wie NoScript per Extension installieren muss. Sowas gehört als Grundwerkzeug in jeden Browser direkt rein. Und nein, das banale an/aus für JavaScript, welches einem geboten wird, ist keine Alternative - in Zeiten von Ajax Oberflächen braucht man JavaScript nunmal immer wieder.
It's L-i-n-u-x, that is an Operating System - ouch. Sowas kann man sich nicht ausdenken, sowas kann nur die Realität bringen.
One Man, One Long List, No More Web Ads - was mich an dieser Diskussion über "Werbeblocker bedrohen das Geschäftskonzept von Websites die auf Werbung aufbauen" richtig verwundert: keiner stellt diese armselige und verblödete Geschäftsidee zur Debatte. Dabei ist es ganz einfach: wenn du ein Geschäft betreibst, und keine Gewinne damit machst, ist die Geschäftsidee schlicht und einfach unbrauchbar. Such dir eine andere. Werbeblocker bedrohen deine Einnahmen? Nun, dann ist es wohl einfach an der Zeit wieder zu ehrlicher Arbeit zurückzukehren, oder?
Telekom hörte mutmaßliche Hacker ab - "Im Dezember 1996 begann laut dem Bericht die elektronische Überwachung von vier Telefonnummern im rheinischen Hennef unter dem Decknamen "Bunny". Auch die Gesprächsinhalte seien aufgezeichnet worden. Dabei sollen insgesamt knapp 120 Anrufe erfasst worden sein." - ein weiterer Grund, warum so elementare Infrastruktur wie Telekommunikation einfach nicht in privatwirtschaftliche Hände gehört, denn die kann man ganz einfach viel zu wenig kontrollieren. Wobei allerdings natürlich auch bei Bundeseigenen Betrieben oder Ämtern Missbrauch nicht ausgeschlossen ist, aber wenigstens sind da rudimentäre Kontrollen vorhanden.
Alte Google Mail Domain in Deutschland verboten - anklicken und totlachen. Absurdistan, dein Name ist Deutschland ...
Das Mundaneum Museum ehrt die erste Vorstellung des World Wide Web - steampunk web aus den 30er Jahren Belgiens ...
Google will doch nur spielen - "«Der will doch nur spielen» sagen Hundebesitzer oft, wenn ihr Tier wie besessen auf einen Fremden losrennt, ihn bedrängt, anbellt, anspringt und insgesamt höchst aufdringlich in seiner Freiheit einschränkt." - google, der Dobermann-Rehpinscher des Internets.
RetroShare: a secure combined file sharing-Chat-IM F2F service - klingt interessant vom Konzept her, wär mal spaßig damit zu spielen. Über geschlossene P2P-Netze ist natürlich z.B. die derzeit in anderen Netzen ausgeübte Spionage der Musikindustrie ausgehebelt - oder zumindestens massiv behindert, da man explizit das Vertrauen zu Partnern definieren kann (wie im PGP Web-of-Trust).
Cocoa Text System - alles was man über die Textsystem-Konfiguration unter OS X wissen will (oder auch nicht wissen will, aber trotzdem da nachlesen kann)
Endgültiges Aus für Wahlcomputer in den Niederlanden - Golem.de - "Das niederländische Innenministerium gab am Freitag den endgültigen Abschied von Wahlcomputern bekannt. In Zukunft werden die Bürger im Lande ihre Stimmen wieder mit Stift auf Papier abgeben. Der niederländische Ministerrat sah sich zu dieser Entscheidung veranlasst, nachdem im vergangenen Jahr massive Sicherheitsmängel der Wahlcomputer nachgewiesen worden waren. Der Chaos Computer Club (CCC) hatte Mitte 2007 demonstriert, wie sich der ROM-Speicher eines Nedap-Computers binnen 60 Sekunden gegen ein manipuliertes ROM austauschen lässt. Forscher und die Bürgerrechtsinitiative "Wij vertrouwen stemcomputers niet" ("Wir vertrauen Wahlcomputern nicht") hatten weitere Sicherheitslücken demonstriert." - wäre es nicht klasse, wenn unsere Prolethiker ähnlich reagieren würden? Zu erwarten ist das allerdings weniger.
Consequences of the SSH/SSL weakness - klare Worte über die Auswirkungen des Bugs. Es wurden nur 32767 verschiedene Keys generiert für die Maschinen in der Zeit, in der die defekte OpenSSL Version im Einsatz war (mindestens seit Frühjahr 2007, wenn man auf stable war). Autsch.
Debian OpenSSL Predictable PRNG Toys - und hier die passenden Toys zum Spielen mit dem Loch. Generieren der 32767 Keys für verschiedene Key-Architekturen.
Debian and OpenSSL: The Aftermath - falls jemand Zweifel hat, ober seine Keys neu erstellen muss: "However, rather than fix the calls to RAND_add(), the Debian maintainer instead removed the code that added the buffer handed to ssleay rand add() to the pool. This meant that the pool ended up with essentially no entropy. Clearly this was a very bad idea." - ja, "essentially no entropy" bei der Generierung von Schlüsseln ist eine wirklich schlechte Idee. Autsch.
Vendors Are Bad For Security - über den "Bugfix" in Debian, der seit 2006 alle generierten OpenSSL-Keys mehr oder weniger unbrauchbar gemacht hat. Danke für die Mehrarbeit, ihr Pappnasen. Witzig auch die Kommentare, in denen der OpenSSL-Dev seinen eigenen Rant in den Rachen zurückgestopft bekommt, weil die OpenSSL-Pappnasen es nicht für nötig hielten, sich mit dem von den Debian-Devs vorgeschlagenen Fix auseinanderzusetzen (ausser einem, der tatsächlich Daumen-hoch signalisiert hat). Tja. All Software sucks.
US-Offizier will Abschreckung im Cyberspace - putzig, diese Militaristenspacken, wie sie daherstolzieren und Blödsinn reden.
Münster steht kurz still - Mistkram, dammischer!
hacksector.cc als Musterfall für § 202 c? - da sehen wir, wozu dieser unsägliche "Hackerparagraph" führt. Sinnlose Aktion gegen ein Forum. Wo ist da die angebliche technische Kompetenz der Ermittlungsbehörden und die angemessene Beurteilung der fraglichen Werkzeuge? All das dumme Beruhigungsgerede der Prolethiker in Berlin stellt sich als genau das raus: dummes Gewäsch ohne Bezug zur Realität. Jo, da sind Kreditkartendaten wohl geschoben worden - was illegal ist, was aber schon vorher illegal war. Aber das ganze Getöse um die angeblichen Hacker, die grossartige Ermittlungsarbeit und den tollen Erfolg mit der "Zerschlagung" ist einfach nur lächerlich.
Victorian All-in-One PC - netter Mod-Job.
RFID System Mifare Classic geknackt? - "Laut der nun veröffentlichten Arbeit von Nicolas Courtois, Karsten Nohl und Sean O'Neil ist es möglich, ohne aufwendig vorauszuberechnende Tabellen (Rainbow-Tables) die Verschlüsselung innerhalb von wenigen Sekunden mit PC-Hardware zu knacken. Die Sicherheit des Algorithmus, so das Fazit der Forscher, sei 'nahe Null'."
Infektionswerkzeug für SQL-Server und IIS - interessante Geschichte. Die Angriffe werden immer professioneller.
Lighthouse - macht auch dynamische Portforwardings auf dem Router, aber mit mehr Möglichkeiten Dinge zu definieren und z.B. an bestimmte Anwendungen zu binden. Dafür aber nicht frei, sondern Shareware.
Port Map and TCMPortMapper - nettes kleines Tool, das ports auf routern freischalten kann (sofern dieser entsprechende Protokolle zur Fernsteuerung unterstützt). Brauchbar um mal temporär Dienste auf dem eigenen Rechner aus dem Internet erreichbar zu machen.
Amazon Web Services Blog: Storage Space, The Final Frontier - es wird interessanter. Amazon will zu EC2 persistenten Plattenplatz (wieder bezahlt nach Nutzung) zufügen.
Network Solutions: Not Just Thieves and Hijackers, Now Using Tactics That Can Get Your Site Banned From Google - oh wow. Nework Solutions richten bei Domains die ihren DNS benutzen einen Wildcard-A-Record für unbelegte Subdomains an, und packen da Werbung drauf. Jemand registriert einen Namen, um diesen mit seinem Geschäft zu verbinden, benutzt die Dienstleistung von Network Solutions für den Betrieb des Nameservers und wird dann stumpf von seinem Dienstleister verarscht.
Strange TCP-networking problems with Mac OS X 10.4 and Solaris 10 - obskure TCP parameter an denen man mal rumspielen könnte, um vielleicht das lahme Netzwerken von OS X anzukurbeln.
Google App Engine - wow. Google bietet gehostete Anwendungen auf Python-Basis und liefert ein Django vorinstalliert schon mit. Genial. Allerdings ist Djang arg verkrüppelt, da der ganze Modell-Teil nicht benutzt werden kann (eine SQL-Datenbank gibts nicht, sondern nur den Google Datastore). Hmm. Vielleicht mal ne Idee einfach mal was neues zu machen mit meinem Blog. Läuft ja schon lange verlässlich, wird Zeit das mal wieder zu zerstören ...
Towers of Hanoi - geschrieben nur mit VIM kommandos (ja, wenn man VIM Kommandos in einen Buffer pastet und diesen dann wieder ausführt, erhält man sowas wie eine - sehr seltsame - Programmiersprache, basierend auf visueller Veränderung von Texten. Und ja, irgendwer hatte da zu viel Freizeit)
Norwegen versucht, ISO-Entscheidung zu Open XML zu revidieren - "Berichte über den Abstimmungsprozess tauchten am Freitag bei Computerworld Norge auf. In einer Übersetzung des Artikels bei Groklaw sagten Teilnehmer, dass Vertreter von Microsoft und Statoilhydro im Standards-Norge-Ausschuss für die Zustimmung zu Open XML gestimmt hätten. Die anderen Mitglieder des Ausschusses waren jedoch dagegen, da ihre Kommentare zur Spezifikation nicht berücksichtigt wurden. Dennoch änderte sich die Gesamtabstimmung von Nein zu Ja."
OOXML: Warten auf die ISO-Entscheidung - sollte der Müllhaufen von Microsoft (sorry, ein "Standard" mit tausenden Seiten Erläuterungen und tausenden von kritischen Anmerkungen und Korrekturen und Widerkorrekturen ist einfach nur ein Müllhaufen) tatsächlich im "Fast Track" Verfahren zum Standard werden, hätte sich damit das gesamte ISO-Verfahren komplett lächerlich gemacht und es wäre an der Zeit, eine funktionierende Alternative für diese Farce zu finden. Wenn technische Standards nur noch auf der Basis von politischen Ränkespielchen und wirtschaftlichen Machtinteressen entschieden werden und sowas dann noch in einer Weise, die klar und eindeutig die aufgestellten Reglementarien der ISO ignorieren ("Fast Track" ist nicht für Standards gedacht, die einen hohen Diskussionsbedarf haben), dann ist ISO schlicht und einfach wertlos.
Usability problems with .Mac sync - ich kann das nur bestätigen, was Jeffrey Zeldman hier schreibt. Die Sync-Tools von Apple sind einfach nur unterirdisch schlecht. Mir ist mehrfach der Sync von banalen Daten zwischen meinem iMac unter Leopard und meinem Notebook unter Tiger geschrottet - zum Glück ist nur eines führend und im Notfall kann ich einfach alles zurücksetzen. Aber noch schlechter als der Sync der einfachen Daten (Kontakte, Kalender etc.) war der Sync des Schlüsselbundes - hat mich eine ganze Weile beschäftigt, die Schäden wieder zu bereinigen. Und die iDisk? Oh Mann, ich hab nur 4 OmniOutliner Dokumente versucht auf beiden Rechnern im Wechsel zu editieren. Ergebnis: grauenhaft. Schlicht und einfach nur Schrott. Ich bin für Dokumente einfach wieder auf Mercurial zurück (ich benutze es eh für meine anderen Dokumente, die Outliner-Dateien waren nur ein Test). Das ist verlässlich und stabil. Auch wenn es nur eine Kommandozeile als Oberfläche bietet - bei Datensynchronisierungen will ich Stabilität und nicht Schnickschnack. Sync-Dienste, die meine Daten schrotten, sind einfach nur Müll.
After Security Update today: "Bus ... - wer wie ich mit ssh plötzlich nach dem Update vom 18.3. bus-errors kriegt, Nicecast hat einen Update auf deren Tools - das Instant Highjack ist der eigentliche Verursacher. Update von Nicecast einspielen und alles scheint wieder brav zu laufen.
iTimeMachine - noch ne andere Weise um auf Netzwerklaufwerke mit Timemachine zu sichern. Nicht ausprobiert, soll aber auf beliebige (also nicht nur Timecapsule und Airport) Laufwerke im Netz sichern können (sogar auf SMB-gemountete).
Das RIPE analysiert das Youtube-Hijacking - interessant zu lesen.
vimperator - ok, ich hatte sowas schon mal, eine Extension die Firefox auf VI-Bedienung umbaut, aber die hier scheint ein paar Schritte weiter zu gehen als andere. Strange.
Murphy's Law Strikes Again: AS7007 - was Pakistan mit Youtube gemacht hat, hats schon mal in deutlich heftiger gegeben. In 1997.
Kryptanalyse von A5/1 - "Neu an diesem Angriff ist: 1) er ist vollständig passiv, 2) die Gesamtkosten für die Hardware betragen etwa 1.000 Dollar, und 3) die Gesamtzeit zum Knacken des Schlüssels beträgt etwa 30 Minuten. Das ist beeindruckend."
New Research Result: Cold Boot Attacks on Disk Encryption - wow. Schlicht und einfach Wow. Das sieht echt übel aus für Plattenverschlüsselung - jedenfalls was harte Sicherheitsanforderungen angeht.
Cooperative Linux - crazy, der Linux-Kernel recompiliert als Windows-Executable. Booten von Linux geschieht durch Ausführen des Linux-Kernels und alle Treiber werden auf Win32-APIs umgeleitet.
WiebeTech Micro Storage Solutions - HotPlug - Move a computer to battery power and transport it without ever shutting it down. - coolio, einen Computer einfach im laufenden Betrieb einpacken und wegtragen. Und damit z.B. Disk-Verschlüsselung negieren - denn wenn der Benutzer angemeldet ist, ist in der Regel ein Zugriff auf die verschlüsselten Medien möglich (jedenfalls wenn das verschlüsselte Laufwerk angemeldet ist). Pfiffige Idee.
SCO vs. Linux: Klagen bis zum Ende, doch ohne Darl McBride - "Weitere 95 Millionen Dollar sollen als Kredit über einen Zeitraum von fünf Jahren zur Verfügung gestellt werden, der gegen die Forderungen aus den Prozessen mit Novell, IBM, Red Hat, Autozone und anderen Firmen verrechnet wird. Die Zinsen für diesen Millionen-Kredit sollen 17 Prozent über der jeweils gültigen Interbank-Kreditrate liegen. Gegenwärtig würden die Zinsen etwa 21 Prozent betragen." - Und bei Nichtzahlen kommen die grossen Männer mit den Knüppeln und zerschlagen ein paar Kniescheiben? Das klingt dann doch eher nach Kredithaien. Von daher wohl verschmerzbar, wenn die zusammen mit dem Blödsinn von SCO baden gehen.