When you open any link on the TikTok iOS app, it’s opened inside their in-app browser. While you are interacting with the website, TikTok subscribes to all keyboard inputs (including passwords, credit card information, etc.) and every tap on the screen, like which buttons and links you click.
Sehr lesenswerter Bericht des Sicherheitsexperten Felix Krause. Er hat eine Reihe von Social Media Apps untersucht und seine Erkenntnisse sind erschreckend. Wer solche Apps hat, braucht keine Trojaner mehr.
Wenn ihr schon immer mal wissen wolltet, wie schlimm es bei Twitter intern zugeht, dann habt ihr jetzt eine gute Gelegenheit.
Für Musk ist das natürlich ein gefundenes Fressen, um seinen Ausstieg aus dem Twitter-Kauf wegen zu vieler Fake-Accounts zu beweisen. Er hat Peiter „Mudge“ Zatko bereits vorladen lassen. Zatko sagt aber, das wäre nicht beabsichtigt gewesen, es sei eine „unglückliche Koinzidenz“, dass er gerade jetzt an die Öffentlichkeit geht, während Musk sich mit Twitter um Milliarden Dollar streitet.
Seit einer Entscheidung des Landgerichts München werden vermehrt Abmahnungen an Webseitenbetreiber verschickt, die Schriftarten von Google-Servern einbinden. Denn das Einbinden von dynamischen Webinhalten wie Google Fonts von US-Webdiensten ist ohne Einwilligung der Besucher rechtswidrig. Webseitenbetreiber können auf Unterlassung und Schadensersatz verklagt werden.
Wir hatten hier im Blog zu diesem Urteil des Landgerichts München bereits berichtet. Und wie es zu erwarten war, gehen auf leistungslose Abzockerei spezialisierte Gestalten nun auf Webseitenbetreiber direkt los, anstatt sich an die Datenschutzbehörden zu wenden und zunächst dort um Abhilfe zu bitten. Klar, denen ist es an sich völlig egal, was mit ihrer IP geschieht, die wollen nur Kohle. Man kennt das alles ja schon seit den Kindertagen des Internets bis zum Erbrechen (Gravenreuth und andere), ich finde es empörend, dass das Landgericht München solcherart „Geschäftsgebaren“ auch noch fördert. Beschwerde an die Datenschutzbehörde, und wenn dann nicht Abhilfe geschaffen wird, Abmahnung, das wäre ja akzeptabel m.E. – aber so, wie es jetzt ist, ist es nur eine Einladung für die übliche zwielichtige Szene.
Deshalb noch einmal der Hinweis auf das Plugin OMGF von Daan van den Bergh für WordPress-Sites. Funktioniert perfekt, und für die meisten Anwendungsfälle reicht die kostenlose Version. Falls es mit der nicht klappt, oder Sie Support benötigen, können Sie eine Lizenz erwerben, erhältlich ab 19€ / Jahr. Daan ist übrigens sehr freundlich und hilfsbereit, wenn man für komplexere Anwendungsfälle mit den vielfältigen Einstellungen des Plugins Probleme hat.
(Falls Sie kein WordPress nutzen, nochmals der Hinweis auf unseren ersten Artikel zur Problematik, dort sind auch Lösungsansätze für andere Szenarien beschrieben.)
The Linux kernel has long honored the “nordrand” kernel parameter to disable kernel use of the Intel RDRAND and RDSEED instructions if not trusting them — either out of security concerns that they could be compromised by the vendor or running into hardware/firmware issues around RdRand usage. But the Linux kernel is preparing to drop that kernel parameter with users encouraged to use the more generic “random.trust_cpu” parameter.
Vielleicht gehören Sie zu denen, die Schwarzen Boxen kein Vertrauen entgegenbringen und haben deshalb Ihrem Linux-Kernel verboten, den Zufallszahlen der CPU zu vertrauen. Nur die Hersteller wissen schließlich, wie sie zustandekommen, und vorhersehbare Zufallszahlen waren ja schon sehr oft das Mittel, einen Verschlüsselungsalgorithmus brechen zu können. Und dafür gibt es seit 2018 den Kernel-Parameter „nordrand“, denn die Zufallszahlenerzeugung des Kernels ist immerhin Open Source, man hat also zumindest eine Chance, sie zu prüfen.
Voraussichtlich ab Kernel 5.20 wird die Option „nordrand“ jedoch nicht mehr zulässig sein, man muss stattdessen „random.trust_cpu=0“ angeben. Diese Option wird übrigens schon seit Einführung dieser Kernel-Fähigkeit erkannt, falls Sie also noch „nordrand“ verwenden, können Sie bereits jetzt umstellen.
Ob der Parameter aber noch viel bringt, sei dahingestellt. Linux hat längst auf das Problem reagiert, indem nämlich schon seit geraumer Zeit alle Zufallszahlen des Prozessors nicht mehr direkt genutzt werden, sondern erst durch die RNG Hash Funktion von Linux gehen müssen – womit es für den Prozessor kaum noch möglich sein sollte, brauchbar gezinkte Zufallszahlen durchzubekommen.
[Coinbase] “sold a single analytics software license to ICE for $29,000” back in August 2021, the report says. The next month, however, it sold software worth $1.36 million to the agency, the report says … ICE [Immigrations and Customs Enforcements] “now has access to a variety of forensic features provided through Coinbase Tracer”, the company’s internal intelligence tool.
Bitcoin ist anonym, haben sie gesagt. Und dezentral. Und vor dem Zugriff der Behörden geschützt. Doch es wird immer klarer, man kommt stattdessen mit den digitalen Währungen erst recht ins Scheinwerferlicht der staatlichen Begehrlichkeiten.
Deshalb arbeiten also die Regierungen der Welt so fieberhaft an digitalem Zentralbankgeld.
Fortunately, there are alternative ways to view Twitter if you’d like to avoid your every cursor movement being monitored. One of them, called Nitter, redirects Twitter web links to an alternative, re-skinned version of the social network that yanks out all the code necessary to track your behavior.
Sie kennen das vermutlich, wenn Sie auf Twitter nicht eingeloggt sind, können Sie es nur sehr eingeschränkt nutzen. Und ohne Javascript geht sowieso nichts. Via Nitter lässt sich Twitter aber „barrierefrei“ nutzen, und bisher ist es Twitter nicht gelungen, diesen Zugang zu blockieren, obwohl Twitter alternative Clients verbietet. Übrigens ist Nitter auch viel schneller als der Zugriff via Twitter, weil die ganze Überwachungsmaschinerie ausgeschaltet ist.
Die Verwendung ist sehr einfach, ersetzen Sie in der URL „twitter.com“ durch „nitter.net“. Für z.B. den Twitter-Account der Cephei also https://nitter.net/CepheiAG. Kleiner Wermutstropfen: Während die Desktop-Version sehr gut funktioniert, sieht es für Mobiles eher mau aus, weil es bisher keine nativen Apps gibt.
»Für viele Unternehmen wird es kaum ein Problem sein, dass der Internet Explorer künftig nicht mehr unterstützt wird. In Japan ist das anders: Laut einer Umfrage vom März 2022 verwenden 49 Prozent der japanischen Unternehmen den veralteten Browser in irgendeiner Weise weiter. “Könnten Sie bitte etwas unternehmen, damit wir keine Probleme haben?”, bat ein Kunde das japanische Systemhaus Computer Engineering & Consulting (CEC), welches diverse Unternehmen betreut.«
An sich hatte Microsoft angekündigt, zum 15. Juni den Internet Explorer per Update zu löschen. Stand heute (17. Juni) ist dies noch nicht geschehen. Gibt es etwa doch weit mehr Gegenwind als man erwartet hatte?
Denn wie bereits hier im Blog beschrieben, der Internet Explorer hat Alleinstellungsmerkmale, die kein anderer Browser aufweist, auch der IE Modus des neuen Edge Browsers nicht. Und Software umzustellen, die vielleicht jahrzehntelang gewachsen ist und auf diesen Merkmalen aufbaut, kann durchaus aufwändig sein.
Sollten Sie Bedarf haben für die Umstellung der Fernsteuerung via COM des Internet Explorers, empfehlen wir Ihnen diesen Artikel hier bei uns; für einen Teilaspekt dieses Themas ist eventuell auch dieser Artikel für Sie interessant.
Researchers from MIT found that the Arm Pointer Authentication functionality within the M1 can be defeated and without traces. The researchers allege, “PACMAN utilizes a hardware mechanism, so no software patch can ever fix it.” With Arm Pointer Authentication still being new and only added to the Armv8.3-A specification, it will be interesting to see if similar Arm SoCs also prove vulnerable to this particular attack.
Auch ARM Prozessoren haben offenbar Hardware-Verwundbarkeiten, so wie Intel mit den Spectre-Bugs. Via dem Erraten des „Pointer Authentication Codes“ können aber dennoch nur bereits bestehende Fehler in Anwendungssoftware angegriffen werden.
Mit dem nun veröffentlichten Open-Source-Treiber für den Linux-Kernel ändert Nvidia seine Vorgehensweise technisch zwar grundlegend, der beschriebene Ansatz, allein im Sinne des Geschäfts statt mit der Community zu arbeiten, bleibt wohl aber wie bisher bestehen. Denn Nvidia sieht offenbar seine Marktmacht in einigen Bereichen durch deutliche Konkurrenz schwinden.
Unter Linux waren lange Zeit AMD oder Intel für Grafikkarten die bessere Wahl, weil diese Hersteller konsequent Open Source unterstützen. Offenbar sieht sich nun auch Nvidia aufgrund der Erfolge der Wettbewerber vor allem im Geschäftskundenbereich gezwungen, eine freie Variante seines Treibers anzubieten.
Mit einer Verzögerung von 10 Jahren hat Linus Torwalds Stinkefinger also doch noch gewirkt. Allerdings ist die Open Source Variante des Nvidia Treibers eine ziemliche Mogelpackung, wesentliche Teile bleiben proprietär, man hat sie einfach nur in die Firmware verschoben.
Außerdem ist die Performance des Open Source Treibers zumindest bisher enttäuschend. Bei Phoronix finden Sie die entsprechenden Benchmark-Ergebnisse, und sie belegen, dass die initiale Version des Open Source Treibers in allen Belangen der proprietären Variante deutlich unterlegen ist.
Es ist amüsant zu sehen, dass eine bestimmte „Blase“ ein Problem damit hat, dass ein reicher Mann Twitter kauft, aber kein Problem darin sieht, dass ein reicher Mann die WHO gekauft hat.
Twitter hat den Widerstand gegen eine Übernahme durch Tech-Milliardär Elon Musk aufgegeben. Der Online-Dienst teilte mit, dass er sich mit Musk auf einen Deal verständigt hat. Twitter solle nach der Übernahme von der Börse genommen werden. Der Preis bleibt bei den von Musk von Anfang an gebotenen 54,20 Dollar je Aktie. Jetzt liegt es an den Aktionären von Twitter, ob sie das Angebot annehmen wollen.
I am offering to buy 100% of Twitter for $54.20 per share in cash, a 54% premium over the day before I began investing in Twitter and a 38% premium over the day before my investment was publicly announced. My offer is my best and final offer and if it is not accepted, I would need to reconsider my position as a shareholder.
Schon kurz nachdem bekannt wurde, dass Elon Musk das Angebot, einen Sitz im Aufsichtsrat von Twitter zu erhalten, abgelehnt hatte, schossen die Spekulationen ins Kraut, dass Musk planen würde, ganz Twitter zu übernehmen. Denn hätte er einen Sitz im Aufsichtsrat, dürfte er nur 14,9% von Twitter halten.
Und so kam es dann auch, Musk versucht jetzt, die Aktienmehrheit von Twitter zu bekommen. Und hat dafür, nach einhelliger Bewertung von Analysten, ein sehr attraktives Angebot gemacht.
Das Twitter-Management wehrt sich verzweifelt, denn Musk hat unmissverständlich gesagt, dass er Twitter übernehmen will, damit dort wieder Redefreiheit einzieht. Und da die bereits seit längerem laufende Brachial-Zensur durch die Freiheitsfeinde bei Twitter – man denke nur an die Sperrung des amerikanischen Präsidenten, oder an den „Laptop aus der Hölle“ von Hunter Biden – durch eben dieses Management zu verantworten ist, würde es einen Chef Musk auf keinen Fall überleben.
Das Twitter-Management sucht also nun einen „weißen Ritter“, einen (erwünschteren bzw. das derzeitige Management unterstützenden) Gegenbieter mit einem besseren Angebot, um die Übernahme abzuwehren. Aber wer sollte das sein? Durch die rigide Knebelung der Twitter-Nutzer für eine „woke“ Agenda war der Kurs von Twitter bereits stark abgestürzt, bevor Musk ihn durch seine Aktivitäten wieder deutlich nach oben trieb.
Es ist schon seltsam, Twitter wurde gegründet um die Meinungsfreiheit zu stärken. Inzwischen hat jedoch sogar der geschasste Gründer Jack Dorsey öffentlich bereut, was mit Twitter angerichtet wurde. Das wären nicht seine Ziele gewesen, was daraus geworden ist, sagt er. Kommt aber nun jemand, und will die ursprünglichen Werte des Unternehmens wiederherstellen, so nennt sich das „feindliche Übernahme“.
Microsoft will sich nun schon sehr lange vom Internet Explorer trennen, und in Kürze wird es endgültig: Mitte Juni wird ein Update erscheinen, dessen einziger Zweck es ist, den IE zu löschen.
Vielleicht sagen Sie jetzt, naja na und, mit der alten Schabracke lässt sich doch schon seit Ewigkeiten sowieso nichts mehr anfangen. Nicht ganz. Der IE ist der einzige Browser mit einem COM-Modell. Und lässt sich damit nahtlos in eine Vielzahl von Anwendungen und Programmiersprachen integrieren.
Stellen Sie sich vor, Sie hätten in Excel VBA umfangreiche finanztechnische Software kodiert, die für den Betrieb auch Daten aus dem Internet benötigt. Und um das nicht alles immer per Hand einzupflegen, haben Sie den IE automatisiert, dass er die Daten holt. Und *schwupps* mit einem Federstrich macht Microsoft jetzt ihre ganze Arbeit wertlos, tausende von Zeilen, obwohl sie bis heute klaglos den Dienst verrichten. Denn der eine oder andere Darstellungsfehler bei moderneren Seiten ist bei so etwas ja egal, insbesondere da man den IE seine Arbeit komplett im Hintergrund verrichten lassen kann.
Was kann man also tun? Das Update aufschieben? Das geht nur mit den Pro-Versionen von Windows, und auch dort nur eine gewisse Zeit. Die Software in eine VM verlagern, und diese nach jedem Start auf den letzten Sicherungspunkt zurücksetzen? Mit der Zeit würde das wohl eine ziemlich unsichere Angelegenheit, weil gar keine Updates mehr eingespielt würden.
Der saubere Schritt ist hingegen die Rekodierung für eine neue Browser-Automation. Glücklicherweise gibt es nämlich für Edge, Firefox und Chrome eine Automatisierungs-Schnittstelle, sie nennt sich Selenium. Und für Excel und Word VBA gibt es die vorzügliche Bibliothek SeleniumBasic von Florent Breheret. Sie können die Installationsdatei dafür hier downloaden.
Im Folgenden möchte ich Ihnen die ersten Schritte mit dieser Bibliothek ein wenig erleichtern.
It didn’t take long for Musk to respond and in a tweet – what else – moments after the Twitter 8K, and shortly after Twitter’s (soon outgoing) CEO Parag Agrawal tweeted that “I’m excited to share that we’re appointing @elonmusk to our board! Through conversations with Elon in recent weeks, it became clear to us that he would bring great value to our Board” adding that Musk is an “intense critic of this service” … Musk responded with what may be the most polite pink slip in modern history: “Looking forward to working with Parag & Twitter board to make significant improvements to Twitter in coming months!”
Nachdem Musk erst die unbedingte Notwendigkeit der freien Rede in mehreren Tweets betont hatte, und dann der größte Einzelaktionär bei Twitter wurde, tragen die „snowflakes“ jetzt Trauer und der Aktienkurs von Twitter explodiert – Twitter beruft Musk in den Aufsichtsrat. Ein weiterer (reverser) Beleg für die These „get woke, get broke“ – nur die, bisher durch nichts gestützte, Hoffung, Twitter könnte wieder freie Rede zulassen, hat einen enormen Boom in der Nachfrage nach den zuvor im Keller dümpelnden Twitter-Aktien ausgelöst.
Eine Sicherheitslücke, die den Namen Dirty Pipe erhalten hat, ermöglicht unter Linux das unberechtigte Schreiben in Dateien des Root-Nutzers. Damit kann sich ein einfacher Nutzer Root-Rechte verschaffen. Ein Exploit-Code steht zur Verfügung.
Der verwundbare Code wurde mit der Kernel-Version 5.8 eingebaut, Versionen davor sind nicht betroffen. Fixes sind bereits verfügbar, gefixt wurde allerdings nur der LTS-Kernel 5.10 und die aktuelle Kernel-Version 5.16 sowie deren Vorläufer 5.15. Für die Zwischenversionen 5.8, 5.9, 5.11, 5.12, 5.13 und 5.14 ist offenbar kein Patch vorgesehen, allerdings ist deren Support immer nur sehr kurz (bis zum Release der übernächsten Zwischenversion).