Hardware keyloggers found in Manchester library PCs schreibt The Register:

Hardware keyloggers have been discovered in public libraries in Greater Manchester.Two USB devices, attached to keyboard sockets on the back of computers in Wilmslow and Handforth libraries, would have enabled baddies to record every keystroke made on compromised PCs. It’s unclear who placed the snooping devices on the machines but the likely purpose was to capture banking login credentials on the devices prior to their retrieval and use in banking fraud.

Bei web.de waren schon 2003 mehr als 80% des Datenverkehrs SSL-verschlüsselt, da dort die Policy herrschte “Paßworte werden nur verschlüsselt übertragen” und “Wenn ein Login stattgefunden hat, findet der Rest der Session bis zum Logout verschlüsselt statt”. Ich habe in einem Artikel schon einmal dargelegt, daß das rechenleistungsmäßig keine große Belastung ist - der ganze SSL-Aufwand macht etwa 1/250stel der Gesamtleistung des Systems aus.

Kosten entstehen bei SSL bei der laufenden (symmetrischen) Verschlüsselung nicht in nenneswerter Höhe, sondern nur bei der Herstellung der Verbindung, wenn asymmetrische Kryptographie verwendet wird. Dort treten sie nicht nur in Form von CPU-Verbrauch auf, sondern auch in Form von Datenmengen und Roundtrips, also Übertragungslatenzen. Aber das ist nicht nur überschaubar, sondern man kann es durch geeignetes Protokolldesign auch stark optimieren (Verbindungen halten statt neu aufbauen, Parameter cachen und so weiter), und außerdem schrauben Leute am Protokoll selbst .

Krümelmonster: C is for Cookie

Auf den vielfachen Wunsch einer einzelnen Dame hier der Erklärbar zum Thema Kekse für die Freunde besagter Dame.

Eines der Hauptprobleme, das man lösen muß, wenn man Webanwendungen schreibt, ist die Tatsache, daß man im wesentlichen Memento dreht.

Jedesmal, wenn man im Browser eine Seite aufruft, sieht der Webserver einen Request, bearbeitet diesen und vergißt danach, was er getan hat. Es gibt nichts an einem Request, das man verwenden kann, um den zweiten Requests sicher mit dem ersten Request zu verketten und sich an die Dinge zu erinnern, die man im ersten Request getan hat.

Drei unterschiedliche Dinge: Vergeben, vergessen und vernichten. Sie werden gerade vielfach falsch oder fälschlich synonym gebraucht. Das sollte man nicht tun.

Wir erinnern uns:

Vergessen habe ich eine Information, die ich mal hatte, und an die ich mich (Reflexiv!) nicht mehr erinnere, oder bei der ich jetzt gerade meine Kopie nicht mehr finde.

Meistens deswegen, weil ich meine eigenen Caches in der Ablage oder in meinem Hirn als LRU organisiert habe und Daten irgendwann aus dem Cache gelöscht worden sind (oder weggeworfen worden sind), weil sie lange Zeit nicht wichtig für mich waren. Wichtige oder oft gebrauchte Sachen vergesse ich eher nicht.

In der aktuellen KES findet sich der Artikel Epische Macht ( keine stabile URL , da der Archivzugang mit den stabilen URLs paßwortgeschützt und nur für Abonnenten ist).

Der Artikel konzentriert sich auf die Machtfülle von Systemadministratoren, und prägt das Wort “Machtumsetzungsgeschwindigkeit” in Bezug auf Systemadministratoren. Damit will der Autor (Stephen Feldke) darauf abheben, daß Root-Arbeiter besonders schnell besonders viel Schaden gemessen in Mio Euro/Minute anrichten können. Der Autor zieht Parallelen zu Prokura- und Budget-Regelungen, bei denen man bei bestimmten Transaktionen absichtlich mehr als eine Unterschrift für eine Entscheidung fordert, um Prozesse künstlich zu verlangsamen und Mehr-Augen-Prinzipien zu erzwingen.

Es ist ein Fehler anzunehmen, die CDU hätte in NRW gegen den JMStV gestimmt, weil sie inhaltlich gegen den JMStV gewesen wäre - keine der Parteien irgendwo in Deutschland hat aus inhaltlichen Gründen für oder gegen den JMStV gestimmt, sondern das ganze war eine einzige Macht-Taktiererei - eine Farce . In NRW war es so, daß die minderheitsregierenden Parteien sich mit Enthaltungen aus der Verantwortung stehlen wollten, und die CDU deswegen angekündigt hat, gegen das Ding zu stimmen, weil sie Rotgrün so zwingen konnte, Stellung zu beziehen und so im vorübergehen billig jemanden eins reinwürgen.

Heute war ich auf einer Schnitzeljagd, als Kennenlernspiel und Teambuilding-Exercise.

So die Theorie. 2010 läuft so etwas anders.

1. Geht zu dem und dem - betriebsbedingt - Hotel. Google Maps an. Ah, dort ist es. Da gehen wir dann hin, walking navigation (experimental). Funktioniert.

2. Hier ist Eure nächste Aufgabe. Firmenbedingt Fragen zum Hotelbusiness. Wir sind IT, keine Hotel-Leute. Man kann uns die Antworten zu den Fragen in einem Vortrag erklären, oder wir können “raten”: 5 Leute in der Gruppe, 5 Smartphones auf dem Tisch. Wettgooglen.

Neulich hatte ich wieder einmal die Standard-Diskussion mit jemandem, der gegen IPV6 war, weil er dann ja kein NAT mehr habe. Dadurch, so die Argumentation, würde er ja die Sicherheitsfunktionen verlieren - derzeit verhindere sein Türstopper-Plastikrouter halt, daß man seine internen Rechner von außen angreifen könne.

Diesen Zahn zu ziehen ist oft eine schmerzhafte Operation. Aber schon immer galt: NAT ist kein Sicherheits-Feature. Ganz besonders nicht das NAT, das auf einem Türstopper-Plastikrouter läuft.

Ich habe ja lange Zeit gehofft, daß die Medien als Gruppe irgendwann einmal die Kurve kriegen und es schaffen, sich vom Begriff des “friendens” und “likens” in den diversen sozialen Netzen zu lösen und auf die Funktionalität zu schauen, die sich hinter diesem Begriff versteckt. Aber auch hier scheint es sich um einen Fall zu handeln, bei dem ein alter Begriff in einem neuen Kontext verwendet wird, und bei dem die alten Bedeutungen und Konnotationen so sehr überschatten, daß das Neue keine Chance hat.

Stuxnet ist ein maßgeschneiderter Computervirus, der zwei bislang unbekannte Windows-Sicherheitslücken ausnutzt, um bestimmte Windows-Versionen zu infizieren. Das ist deswegen spannend, weil Windows-Sicherheitslücken dieser Art in letzter Zeit nicht mehr so leicht zu finden sind - sie werden inzwischen gehandelt und ernsthaft für viel Geld verkauft. Jemand hat gleich zwei dieser Lücken verbrannt, um diesem Virus das Eindringen in bestimmte Systeme zu ermöglichen. Jemand hat außerdem zwei taiwanischen Treiberfirmen ihre Zertifikate geklaut, um signierten Gerätetreiber-Code in diese Rechner einschmuggeln zu können, ohne daß dabei die Sicherheitswarnleuchten angehen.