Im Moment finden ja viele Konferenzen online statt. Habt ihr euch da mal ein paar angeguckt?

Ich hab ja von Anfang an angesagt, dass ich bei sowas nicht mitmache. Vor Ort Präsenz ist eine Sache, aber online? Wieso sollte ich das über irgendeine Konferenz machen? Wenn ich da Bock drauf hätte, könnte ich die Videos einfach direkt bei Youtube oder so hochladen.

Ich nahm auch an, dass das die Atmosphäre und Vortragsqualität vernichten würde. Vielleicht ist das eine Macke von mir, aber wenn ich kein Publikum habe, dann fehlt ein Korrektiv, das mich vom Schwafeln oder Abgleiten abhält. Daher sind meine Vorträge zeitlich üblicherweise Punktlandungen und meine Podcasts sind 3 Stunden lang :-)

Nun hat der eine oder andere Alternativloshörer sich an mein Geschwafel gewöhnt, und so als Geplätscher und für soziale und gesellschaftliche Themen mag das ja auch OK sein, aber ich mache gerne technische Vorträge. Es ist mir ein echtes Anliegen, dass die Leute da was mitnehmen. Das geht nur, wenn man zeitlich im Rahmen bleibt. Das muss kurz und schmerzhaft sein. Eine Stunde ist im Grunde schon zu lang. Ich glaube 20 Minuten ist perfekt für technische Vorträge. Bringe eine Sache, aber die bringe schnell, auf den Punkt, und überzeugend.

Manchmal hat man mehr Stoff als 20 Minuten leisten können, und dann würde ich das aber eher einen Workshop nennen als einen Vortrag.

Egal. Worauf ich eigentlich hinaus wollte: Ich habe ja die Policy, dass ich meine Vorurteile gelegentlich gegen die Realität zu prüfen versuche, um sie zu bestätigen oder zu verwerfen. Also habe ich mir ein paar Vorträge von so Online-Konferenzen angeguckt, und ich muss leider sagen: Befürchtungen bestätigt.

Die Qualität der Vorträge hat schon von den Titeln her gelitten. Das finde ich nur natürlich und das muss nicht an dem neuen Format liegen. Objektiv gesehen wäre die Covid-Pandemie mit dem Zuhausebleiben der perfekte Moment gewesen, um mal coole neue Projekte zu machen, oder um mal in Ruhe die IT in der Firma zu erneuern, um Technical Debt abzubauen, etc. Ich habe aber in der Zeit so gut wie nichts erreicht.

Das ist jetzt zu hart formuliert. Ich hatte mehrere Kundenprojekte in der Zeit. Aber bei meinen Freizeit-Projekten gab es so gut wie keine Bewegung. Zeit hätte ich genug gehabt, um zum Beispiel mal das TLS runterzuimplementieren. Nicht alle Ciphersuites, aber zumindest das Drumherum wäre drin gewesen.

Das liegt glaube ich daran, dass ich die ganze Zeit unter so einem latenten Dauerstress stand. Nicht weil ich tatsächlich irgendein Problem oder was zu befürchte hatte, aber dieses ständige Einprasseln der Terrorpanikmeldungen, die Notfall-Eilmeldungs-Ticker, das Fallzahlen-Bingo und die unklare Lage haben bei mir dazu geführt, dass ich im Wesentlichen halb betäubt wie ein Zombie irgendwelchen Meldungen hinterhergeklickt habe, von denen größtenteils schon beim Klicken klar war, dass sie keinerlei Auswirkungen auf meine Lebenssituation haben würden.

Ich glaube, das ging auch vielen anderen Leuten so. In meinem Freundeskreis ist es jedenfalls den meisten so gegangen.

Wenn ich den Sommer über nichts geschafft habe, wie kann ich dann von anderen erwarten, dass sie bahnbrechende Vorträge vorbereitet haben in der Zeit?

Aber es ist mehr als das. Man merkt den Leuten auch an, wie unwohl sie sich fühlen in der Situation. Sie beginnen mit Floskeln, wie man sie als Eisbrecher für das Publikum benutzen würde. Aber da ist kein Publikum. Es gibt keine Reaktion. Es ist als ob man mit der Wand redet. Die Vorträge fangen also alle schonmal mit einem Bauchklatscher an. Dann reißen sich die Leute zusammen und machen ihren Vortrag, aber das Timing ist verkackt, denn wenn du nicht merkst, dass du im Publikum gerade Interesse geweckt hast, gibt es auch keinen natürlichen Spannungsbogen und wenn du den dann simulierst, dann wirkt das künstlich und peinlich. Ein geschulter, erfahrener Redner kann das vielleicht trotzdem faken, aber der durchschnittliche Vortragende auf einer IT-Konferenz nicht.

Ich bin jedenfalls ganz froh, dass ich Online-Konferenzen grundsätzlich abgesagt habe.

Und mal unter uns: Ein Jahr ohne Konferenzen werden wir wahrscheinlich überleben. Für die Veranstalter von Konferenzen sieht das aber anders aus. Ich habe noch nichts von insolventen Veranstaltern von IT-Konferenzen gehört bisher, aber ich bin mir fast sicher, dass es da einige geben wird.

Permalink

Oh das hatten wir auch lange nicht mehr: Einen schönen Remote Code Execution Exploit für Chrome unter Windows. Chrome hat den Bug schon geschlossen, aber ob der Exploit auch gegen Edge funktioniert? Edge hält sich ja an diesen Patchday-Hirnriss, d.h. vor dem 10. November ist mit einem Patch nicht zu rechnen.

Ja aber aber aber Chrome hat doch eine Sandbox? Ja schon, aber der 2. Teil des Exploits ist ein Sandbox-Ausbruch für Windows. Beide Hälften sind 0days.

Dass wir überhaupt davon erfahren haben wir (mal wieder) Google Project Zero zu verdanken.

Das mit dem Sandbox-Ausbruch gegen Chrome ist übrigens ein großes Problem, denn der Chrome-Sandbox-Code gilt als der Goldstandard unter Windows. Den haben diverse andere Projekte kopiert. Deren Sandbox ist im Moment dann auch außer Betrieb.

Permalink

Lacher des Tages: The Intercept antwortet auf Glenn Greenwalds Kündigung. Mit der größten Beleidigung, die ihnen auf die Schnelle eingefallen ist:

We have the greatest respect for the journalist Glenn Greenwald used to be

Erinnert mich an die Szene aus Pirates of the Caribbean. Glenn war immerhin mal ein ernstzunehmender Journalist. Jemand mit einem Namen. Im Gegensatz zu der "Redaktion" bei The Intercept, die erst Reality Winner und dann zwei andere Informanten verbrennen ließen.

Unfassbar. Wie ich schon sagte: Glenn hätte diese brennende Mülltonne viel früher verlassen sollen.

Besonders lustig ist der graue Spenden-Winselkasten unter dem Gewinsel oben.

Wait! Before you go on about your day, ask yourself: How likely is it that the story you just read would have been produced by a different news outlet if The Intercept hadn’t done it?

Wichtiger Punkt! So tief sinken die anderen normalerweise nicht.

Permalink

Der Scheuer-Andi hatte gerade die erste gute Idee seiner Karriere.

Stellt euch vor, ihr seid selbst für CSU-Verhältnisse eine auffallend unfähige Häufung aus Inkompetenz. Was ihr braucht ist eine noch größere Katastrophe.

Gut, die müsste schon echt groß sein, um von eurem Totalversagen abzulenken. Die müsste schon eine echte Bedrohung für die Leute sein, und zwar indiviuell, nicht abstrakt. Die Leute müssten wirklich um ihr Leben fürchten!

Scheuer: Deutschland soll erster Staat mit Autos ohne Fahrern im Alltag werden.

Großartig!

Unter uns: So großartig, dass da unmöglich der Andi selber drauf gekommen sein kann. Ob ihn da jemand aus seinem Ministerium weghaben wollte?

Permalink

Ein Leser merkt gerade an, dass sich der von der tollen neuen Justizreform eingeführt Begriff der "sexualisierten Gewalt" geradezu ein winkender Zaunpfahl in Richtung der Trans-Aktivisten ist, die ja schon länger den Standpunkt vertreten, es sei ein Raubmordgewaltumbringterrorismusstraftatvergehen, wenn man jemandes Geburtsnamen irgendwo wegzuzensieren vergessen hat.

Permalink

Liebe Leser, ihr müsst jetzt sehr tapfer sein. Die finden ja alles raus. Alles finden die raus! Jetzt haben sie rausgefunden, dass es häusliche Gewalt von Frauen gegen Männer gibt! Ich weiß! Unglaublich!!

Und nicht nur das!

"Bei häuslicher Gewalt gehen wir insgesamt von einer Dunkelziffer von 80 Prozent aus, wir glauben aber, dass sie bei Männern noch deutlich höher ist", sagt auch der Pressesprecher der größten deutschen Opferschutzorganisation Weißer Ring, Tobias Großekemper.

NEIN!! DOCH!!! OOOOH!!!!!

Hey, ich hab eine Idee. Wir brauchen eine Justizreform! Eine fette Strafverschärfung!! Dann ist das Problem so gut wie gelöst.

Permalink

Endlich! Justizreform verschärft die Strafen. Das hatten wir ja auch lange nicht mehr. Diesmal der Dauerbrenner "sexualisierte Gewalt gegen Kinder".

Ich stell mir das so vor:

Da sitzt ein Typ auf einem Sofa, neben ihm ein niedliches kleines Kind.

Der Typ guckt sich kurz das Strafmaß im Gesetz an und macht eine Abwägung.

Scheiße, Bernd! Nur drei Jahre Knast? Das ist ja so gut wie gar nichts! Da werd ich doch mal eben übergriffig!!1!

Wenn ich höre, dass sie bei irgendwas die Strafen verschärfen wollen, sehe ich immer verängstigte, inkompetente Flachzangen vor mir, die verzweifelt irgendwas tun, damit man nicht so merkt, wie verängstigt und inkompetent sie sind. Egal was. Hauptsache wir haben was getan.

Wir verschärfen jetzt seit Jahren ständig an irgendwelchen Strafmaßen herum. Hat da mal jemand wissenschaftlich untersucht, ob die Verschärfung was gebracht hat? Natürlich nicht! Die WISSEN doch, dass das sinnloser Aktionismus ist!

Erinnert ihr euch an einen einzigen Fall, wo eine Strafverschäfung zurückgenommen wurde? Ich nicht.

Nicht weil die nicht sinnlos gewesen wären, sondern weil wir lieber nicht geguckt haben, wie sinnlos sie waren.

Ich finde man kann das prima an der Drogenpolitik sehen, wie der Mechanismus funktioniert. Irgendein Schwachmat in der Politik möchte sich gerne als "tough on crime" positionieren und hangelt sich mit martialischer Rhetorik so nah an die Todesstrafe ran wie er kann. Und dann, ein Jahr später, kommt der nächste Sprallo und erhöht die Strafen noch weiter.

Bei Kindesmissbrauch sind wir jetzt schon bei der vierten Ableitung angekommen. Der Missbrauch selbst war ja schon immer strafbar. Dann hieß es: Pornos davon herstellen ist verboten. Dann hieß es: Pornos davon besitzen ist verboten. Dann kam: Scheiß auf die Kinder, wir knasten jetzt Jugendliche ein, die sich gegenseitig Nackt-Selfies schicken ("Jugendpornografie")! Und aktueller Stand ist noch eine Indirektion mehr: "Anscheinspornografie". Wenn der Richter findet, der Darsteller sieht aber jung aus, dann reicht das schon. Oh und: Es gibt gar keinen Darsteller (und damit kein Missbrauchsopfer!), weil das alles gemalt oder Computergrafik ist? Egal! ALLE EINSPERREN!!1!

Das sind einfach alles lauter verängstigte alte Menschen, die die Welt um sich herum nicht mehr verstehen. In ihrer Verzweiflung wollen sie alles verstecken, das sie nicht verstehen. Genau wie so Kindergartenkinder. Wisst ihr? Die sich die Augen zuhalten und dann glauben, sie seien für die anderen auch unsichtbar?

Willkommen im deutschen Strafrecht.

Ach komm, Fefe, da packen wir noch eine Strafverschärfung drauf!1!!

Ich persönlich finde bemerkenswert, dass je mehr wir da verschärfen, von desto mehr großen Kinderpornoring-Aushebungen hört man in der Tagesschau. Kann es sein, dass wir das Problem mit der Verschärfung nicht nur nicht lösen sondern sogar schlimmer machen?

Wenn man die Strafen hochsetzt, dann erhöht sich damit das Risiko für die Kriminellen, und damit auch der Profit, den die machen können. Das garantiert doch geradezu, dass es immer Nachschub geben wird! Oder hab ich da einen Denkfehler?

Permalink

Oh ach, gucke mal. Sehe ich ja jetzt erst! Microsoft schafft RemoteFX vGPU ab.

Starting in July 2020, all Windows Updates will disable the RemoteFX vGPU feature because of a security vulnerability. For more information about the vulnerability, see CVE-2020-1036 and KB4570006.

Na sowas! Wer hätte gedacht, dass es ein Sicherheitsrisiko ist, wenn man die GPU über das Netz oder an virtuelle Maschinen exponiert!1!! Hätte uns doch nur jemand rechtzeitig gewarnt! So 2011 zum Beispiel.

Permalink

Macron so: Ab Freitag ist Lockdown!

Die Franzosen so: 700km Staus von Leuten, die aufs Land zu fliehen versuchten.

Permalink

Aus aktuellem Anlass: Guter Hinweis der Sportschützen Bern-West.

Update: Bern, nicht Berlin. Muscle Memory, sorry.

Permalink

Die Covidioten so: Was ist schlimmer, Covid oder die Grippe?

Und das Universum so: Warum nicht beides?

Permalink

Ich habe ja den Merz nie leiden können. Ein fieser Neoliberaler, der Politik für genau sich selbst macht, die anderen können alle mal sterben gehen. Obdachlos? Krank? Arbeitslos? Selber schuld! Hättest doch wie der Merz ein paar Vorstandsberufungen von Dax-Konzernen annehmen können!1!!

Aber beim Zersetzen der CDU könnte ich dem stundenlang zugucken.

War ja auch mal Zeit.

Die SPD hat sich selbst zerstört, die FDP hat sich unter 5% zerstört, die Grünen habe ihr Parteiprogramm komplett auf Identity Politics umgestellt, nachdem sie in allen anderen Belangen keinen Fuß auf den Boden gekriegt haben. Die AfD sehen mehr und mehr wie die Piraten aus, so kaputt haben die sich selbst schon geschossen. Fehlte nur noch die CDU. Und die ballert der Merz jetzt kaputt.

Und er könnte kein verdienteres Ziel treffen!

Update: Einigen Lesern ist aufgefallen, dass der Stern-Link ein Artikel vom letzten Jahr ist. Ist das nicht super, dass man da extra aufs Datum gucken muss, damit man das merkt? Ich korrigiere mich also: Ich könnte nicht nur stundenlang zugucken, wie der Merz die CDU zersetzt. Ich könnte jahrelang zugucken!

Permalink

Deutschland steigt in die direkte Presseförderung ein, verteilt 220 Millionen Euro unter den Bedürftigen.

Wie? Nein, nicht die Journalisten. Haha. Seit wann werden bei uns die tatsächlich Bedürftigen mit Geld beworfen! Nein, die Verlage natürlich! Denen man schon das "Leistungs""schutz""recht" in den Arsch geblasen hatte.

So und was soll offiziell mit dem Geld gemacht werden? Die können ja schlecht ranschreiben, dass das für Koks und Nutten für die Verlagsbonzen ist.

beispielsweise für Investitionen in den Aufbau von Online-Shops, Rubrikenportalen und Apps sowie den Aufbau eigener oder verlagsübergreifender Plattformen zum Vertrieb der Inhalte.

Oh ja super. Online-Shops, Rubrikenportale und Apps haben ja in den letzten Jahren echt enorm Kohle in die Kassen gespühlt. Man könnte fast von Erfolgsmodellen reden!1!!

Ich hätte ja an Stelle der Politik gesagt, das ist für den Aufbau von Paywalls. Dann hätten die Verlage sich weiter selbst in die Bedeutungslosigkeit wegzensiert und die Bevölkerung würde sich am besten nur noch bei Propagandaoutlets wie der Deutschen Welle (Motto: "Russia Today mit mehr Propaganda als die haben zurückdrängen") "informieren". Win-Win! Und die Verlage glauben noch, du hättest ihnen geholfen! HAHA, Suckers!

Permalink

Habt ihr diese Webseiten gesehen, die fiktionale Gesichter generieren? Ein kleiner Taschenspielertrick aus der KI-Forschung.

Eine von denen hat den Weg in den Produktiveinsatz geschafft, und zwar um das Foto von Martin Aspen zu generieren.

Wer ist Martin Aspen? Der angebliche Autor des einen explosiven Enthüllungsdokuments über Hunter Biden. Wenn man mit genug Scheiße wirft, bleibt was kleben.

In dem "Dokument" steht, es käme von einem Laden namens Typhoon Investigations und der Autor sei ein gewisser Martin Aspen, stand im Dokument. Nur gibt es den nicht. Der Lebenslauf ist gefälscht. Und diese Organisation gibt es wohl auch nicht.

Darauf angesprochen erzählt der Blogger, bei dem das zuerst auftauchte, ja, er habe das geschrieben, aber er habe halt Quellen, die er schützen müsse. Ja nee, klar.

Permalink

Paper der Woche:
Can Traditional Chinese Medicine provide insights into controlling the COVID-19 pandemic: Serpentinization-induced lithospheric long-wavelength magnetic anomalies in Proterozoic bedrocks in a weakened geomagnetic field mediate the aberrant transformation of biogenic molecules in COVID-19 via magnetic catalysis

Serpentinization ist ein Begriff aus der Geologie. da geht es um Gesteinsformation im Erdmantel. Wot? Das Proterozoikum ist ein Zeitraum im Präkambrium. Die Lithosphere ist der Gesteinsmantel eines Planeten. Nichts davon hat irgendwas mit Medizin zu tun, auch nicht mit chinesischer Medizin. Ich glaube, das Paper kommt aus einer Markovkette oder vielleicht GPT-2. Für GPT-3 ist es zu absurd. Hier ist eines ihrer Key Findings:

Nephrite-Jade amulets, a calcium-ferromagnesian silicate, may prevent COVID-19.

Aha. Soso. Gut, dass wir das mal geklärt haben.

Übrigens: Nephrit hat seinen Namen vom griechischen Wort für Niere. Weil man vor Erfindung der Medizin glaubte, das Zeug hätte heilende Wirkung auf die Nieren, Blase und Harnwege. Nicht die Lunge. Die Niere. Aber hey, Niere, Lunge, beides innere Organe, amirite? (via)

Permalink

Gute Nachrichten! Der Antisemitismus ist endlich besiegt! Labour hat Jeremy Corbyn rausgeschmissen!

Und an der Stelle einen schönen Gruß an die Fotoredaktion der DPA, die dafür mal so richtig in der Kiste gegraben hat, bis sie das schlechteste Foto von Corbyn gefunden haben.

Vorher hatte die Equality and Human Rights Commission Labour auf Antisemitismus hin untersucht und jetzt endlich ihren Report vorgestellt (die Untersuchung lief seit Mai 2019). EHRC ist eine Behörde, die mit einem Gesetz von 2006 geschaffen wurde, und sich um Diversity und Fälle von Diskriminierung kümmern soll. Der Report ist also sowas wie ein Audit-Report.

Nun wird so eine Behörde natürlich keinen Report schreiben, dass es kein Problem gibt und alles im grünen Bereich ist, sonst würden sie ja ihre eigene Überflüssigkeit zugeben. Also haben die einen Blablah-Report verfasst, in dem in vagen Worten drinsteht, Labour hätte ja schon irgendwie mehr tun können, um ihre Leute auf Diversity-Schulungen zu schicken und Antisemitismus-Workshops oder so machen können *weihrauchanzünd* *teeaufsetz*

The watchdog said its analysis "points to a culture within the party which, at best, did not do enough to prevent anti-Semitism and, at worst, could be seen to accept it".

Sie geben also selber zu, dass ihr Bericht bloß vages Geraune ist, und sie nicht mal eine handfeste Aussage machen können, wie schlimm es eigentlich ist.

The interim chair of the EHRC, Caroline Waters, released a statement alongside the report, saying the investigation had "highlighted multiple areas" where the party's "approach and leadership to tackling anti-Semitism was insufficient".

Naja, äh, hinterher ist man ja immer schlauer. Außerdem ist das eine ziemliche Nullaussage. Das kann man immer über jeden sagen. Nachdem es öffentliche Vorwürfe gibt, kannst du über jeden sagen, er hätte im Vorfeld noch mehr machen sollen.

Was hat Corbyn denn tatsächlich antisemitisches getan? Wikipedia fasst das so zusammen: Zwei gewählte Abgeordnete haben böse Dinge gesagt (nicht Corbyn!) und wurden daraufhin suspendiert.

Corbyn hat dann getan, was man von jedem Boss erwartet, nämlich sich erstmal hinter sein Personal zu stellen und zu sagen, dass es da möglicherweise Einzelfälle gab aber nicht der ganze Laden faulig ist. Das war Strike 1 gegen ihn.

Dann hat Labour 2017 Hate-Speech per Code of Conduct verboten und sofort angefangen, in Corbyns Vergangenheit (bevor es einen Code of Conduct gab!) nach vorwerfbaren Dingen zu suchen. Sie fanden dann was von 2012. Corbyn war offenbar in irgendwelchen pro-palästinensischen Facebookgruppen aktiv und fand wohl nicht, dass man ein Graffiti auf Zuruf entfernen müsse, nur weil irgendwelche Leute das für antisemitisch hielten. Das Graffiti könnt ihr euch hier angucken. Für mich sieht das erstmal nach Kapitalismuskritik aus mit den Zahnrädern, Schloten und der Dollarnoten-Symbolik mit dem allsehenden Auge im Hintergrund. Das im Vordergrund sieht aus wie ein Monopolyspiel. Ist die Nasengröße das Problem?

Labour hatte dann jedenfalls selber eine Untersuchung durchgeführt und wenig überraschend keine Hinweise dafür gefunden, dass Antisemitismusvorwürfe weniger stringent bearbeitet würden als andere Vorwürfe. Aber das heißt natürlich ähnlich viel wie wenn Trump verkündet, er sei der intelligenteste Mensch im Raum.

Anyway. Der Report dieser Behörde sagt jedenfalls, es gab da Probleme. Corbyn hat daraufhin gesagt, die sollen mal die Kirche im Dorf lassen.

His predecessor Jeremy Corbyn said he did not accept all of the report's findings but expressed the hope that the recommendations would be "swiftly implemented".

He said "anyone claiming there is no anti-Semitism in the Labour Party is wrong" but added that "the scale of the problem was also dramatically overstated for political reasons by our opponents inside and outside the party, as well as by much of the media".

Daraufhin hat Labour Corbyn suspendiert.

In a statement the party said: "In light of his comments made today and his failure to retract them subsequently, the Labour Party has suspended Jeremy Corbyn pending investigation."

Wer sich fragt, wieso Labour so mit ihrem ehemaligen Vorgesetzten umgeht, sei daran erinnert, dass solches Verhalten bei denen Tradition hat.

Update: Als Medienkompetenzübung könnt ihr euch ja auch mal angucken, wie der Tagesspiegel die gleichen Fakten präsentiert.

Permalink

Eigentlich wollte ich ja seit inzwischen über zehn Jahren mal eine TLS-Library hacken, aber irgendwie ist immer irgendwas anderes attraktiver. Es ist nicht so, dass ich noch gar nicht vorangekommen wäre. ASN.1-Parsingcode habe ich von tinyldap, und damit habe ich mal einen Parser für X.509-Zertifikate gebastelt. Auch ein Client Hello habe ich mal erzeugt. Baby Steps.

Meiner Erfahrung nach ist das Problem bei dieser Symptomatik bei mir, dass der nächste Schritt nicht klein genug ist. Damit liegt die Fertigstellung des nächsten Schrittes zu weit in der Zukunft und andere Dinge, die ich jetzt tun könnte, haben immer weniger Aufwand und schnellere Fertigstellung, werden also vorgezogen.

Also habe ich mir gedacht: OK, ich muss mal den nächsten Schritt verkleinern. Wie wäre es, wenn ich erstmal die Basis lege, indem ich OpenPGP-Signaturen validieren kann.

Gesagt, getan, habe mir mal das RFC 4880 geholt (bzw. den aktualisierten Draft) und mal angefangen. Und jetzt komme ich gerade von der Straße ab und frage mich, ob ich nicht mal etwas tun kann, um Binärprotokolle leichter verarbeitbar zu machen.

Der Standardansatz ist, dass man irgendeine Library nimmt. Problem: Dann hat man die Library am Bein und muss da hinterherpflegen. Ich schreibe daher meinen Parsing-Code lieber selbst, besonders wenn es sich um Binärkram handelt.

Binärprotokolle parsen ist aber echt nervig. Bei OpenPGP-Signaturen gibt es z.B. mehrere verschiedene Versionen, wie so eine Signatur abgelegt sein könnte. Man muss da byteweise Daten lesen und inhaltlich validieren. Und bei jedem Byte muss man einzeln gucken, ob gerade EOF oder ein Lesefehler reinkam. Code mit so viel Checks sieht elend unübersichtlich und unnötig kompliziert aus. Eigentlich hätte ich gerne eine strukturelle Verbesserung, die den Code einfacher lesbar macht.

Oder man kann sagen: Ich lese die ganze Nachricht in einen Buffer, dann spare ich mir zumindest die EOF und I/O-Fehlerbehandlung bei jedem Byte. Ja, aber dafür fange ich mir möglicherweise ein Denial of Service ein, weil die Nachricht ja beliebig groß sein kann. Ich will nicht 4 GB Speicher holen, nur weil jemand das als Länge irgendwo reingeschrieben hat.

Meine aktuelle Idee ist, dass man eine Abstraktion macht, die man hinten an einen Buffer oder einen File Descriptor koppeln kann, und vorne kann man dann byteweise lesen. Aber anstatt Fehler oder EOF zu signalisieren gibt einem das Ding halt ein 0-Byte zurück, und dann gibt es ein API, mit dem man am Ende fragt, ob bis hierher irgendwelche Fehler auftraten.

Im nächsten Schritt macht man das rekursiv stapelbar, aber mit anderen Längen. Ein typischer Fall bei Binärprotokollen (auch bei ASN.1 und OpenPGP) ist es, dass man einen Header mit einer Länge für das Paket oder die Message hat, und dann lauter Unter-Header mit eigenen Längen innerhalb der Message. Da muss man jetzt jeweils beim Parsen der Länge prüfen, dass man nicht die logisch darüber liegenden Längenlimits überspringt, und dass die neue Unter-Länge in die Länge des Pakets darüber passt, und wenn man die Unterpakete gelesen hat, dann muss man prüfen, dass man jetzt genau am Ende der logisch darüberliegenden Schachtelung liegt.

Je nach Integer-Typ muss man noch numerischen Überlauf abfangen. Das wird schnell fummelig und Fehler passieren.

Zumindest die erste Hälfte davon könnte die Abstraktion einem direkt abnehmen, finde ich.

Die Frage ist, ob das wirklich eine gute Idee ist. Denn der Code ist dann zwar kürzer und lesbarer aber man braucht eben auch mehr Kontext zum Verständnis. Man muss verstanden haben, dass es kein Fehler ist, wenn man mehr liest als da war, solange der Code am Ende guckt.

Der Grund, wieso ich mir OpenPGP angeguckt habe, ist weil sich das als Testbett für eine Kompartmentalisierung gut eignen würde. Man würde am Anfang mehrere Prozesse starten. Einen "gibt mir den Public Key XY", der kriegt den public keyring auf stdin und schreibt den Key nach stdout und darf kein open() machen. Einen "berechne den Hash über diese Daten", der kriegt die Filedaten auf stdin und schreibt den Hash nach stdout und darf kein open() machen. Einen, der auf stdin die Signatur kriegt und parsed und auspackt und in kanonischer Form auf stdout ausgibt und ansonsten auch kein open() machen darf. Und ein Prozess darüber, der alle Arbeit, die potentiell schiefgehen kann, an Unterprozesse delegiert. Wenn dann ein Angreifer einen Bug zum exploiten findet, dann ist er in einer Sandbox, die nichts tun kann außer von stdin lesen und nach stdout schreiben. Mit einem Exploit kriegt man auch nur Zugriff auf die Daten, in denen der Exploit eingebettet war, und z.B. nicht auf irgendwelche Kryptoschlüssel o.ä.

Ich glaube das wäre mal eine hilfreiche Sache, wenn man das mal so durchimplementiert. Sei es nur um zu zeigen, dass das geht.

Langfristig will man so eine Privilege Separation auch für TLS haben, aber dort ist es schwieriger als bei OpenPGP. Daher erstmal OpenPGP als Proof of Concept.

Permalink

Unterbrecht mich, wenn ihr den schon kennt:

KI-Fernsehkameras, die von alleine dem Ball folgen.

Der Linienrichter hat eine Vollglatze.

Na? Was wird wohl als nächstes passiert sein?

Permalink

Glenn Greenwald wirft bei The Intercept hin.

Sorry, Glenn. Too little, too late.

Ein Hinwerfen wäre angesagt gewesen, als The Intercept Reality Winner ans Messer geliefert hat (die sitzt immer noch in Haft). Oder den anderen Whistleblower. Oder diesen Informanten.

Ein Hinwerfen wäre angebracht gewesen, als The Intercept andere Angestellte inhaltlich zensiert hat.

Glenn wirft aber erst jetzt hin, wo sie ihn inhaltlich zensieren. Er wollte zur Wahl nochmal ein paar Gründe gegen Joe Biden publizieren, aber The Intercept ist halt nicht Journalismus sondern Meinungsmache und die Redaktion hat seine Kritik nicht bringen wollen. Am Ende gewinnt noch Donald Trump!1!!

So ist das für mich nur ein moralisch bankrotter alter Mann, sozusagen die lebende Illustration des Niemöller-Gedichts. Jetzt wo alle anderen schon abgeholt worden sind, ist keiner mehr da, der ihn noch verteidigen könnte.

Permalink