Im letzten Job hatte ich nen Kollegen. Klassischer Metalhead mit langen Haaren, Bart, langer Kerl. Zum Weltfrauentag isser immer im Kleid auf die Arbeit gekommen. Total grossartig. Ich bin da noch zu verklemmt für.

Aber vllt kauf ich mir zum Christopher Street Day und zum Weltfrauentag Haarkreide und lauf ein paar Tage mit langen Regenbogen-Haaren rum. Haha.

Ich bin weit davon entfernt, zu beurteilen, wie daraus eine Arbitrary Code Execution wird. Das wird zwar behauptet, aber nicht belegt. Gibt es einen Exploit?

Die Security-Welt hat sich an der Stelle etwas weitergedreht. Ein Exploit wird in der Regel aus mehreren Vulnerabilities zusammengesetzt. Wenn du in der Lage bist, Speicher zu überschreiben, bist du in der Lage, Code zu kontrollieren indem du die Daten modifizierst auf denen der Code basiert. Das wird zu 99% dafür sorgen dass es irgendeinen abstrusen Weg gibt, das Programm dazu zu zwingen, an eine vom Angreifer überschriebene und kontrollierte Sektion zu springen. Sobald das der Fall ist, gibt es Standard-Code der auf 3 gängigen Betriebssystemen auf den meisten Patch-Ständen effektiv wird und danach hochprivilegierte Rechte auf dem OS bereitstellt. Und danach gibt es kaufbare Malware die man danach durchziehen kann um Netzwerke zu übernehmen und Leute zu erpressen.

Und die ganzen wenns und abers im letzten Absatz sind der Grund, warum selbst diese Baustein-Lücken schnell geschlossen werden müssen. Jetzt kennt man sie, jetzt suchen einige bösartigen Menschen in dieser Welt nach dem einen Brückenstein zwischen einer potentiellen Sicherheitslücke und einer Spam-Mail-Welle gefolgt von SYSTEM-privilegien auf einer sehr grossen Menge an Systemen.

Und um ehrlich zu sein - bei sowas wie Notepad++ hast du eine Patch-Latenz von Monaten oder mehr. Das Ding installieren Leute und ignorieren es dann, weil “funtioniert doch”. “Warum soll man dann updaten, dann funktioniert doch nix mehr”. Grade bei sowas will man Patches schneller auf den Weg kriegen.

Das ist leider der Fluch des Erfolges in Software.

Es ist kompliziert.

Es gibt Sport, in dem das Geschlecht dominant ist. Es gibt Sportarten, in denen non-trans-Männer non-trans-Frauen aus evolutionären Gründen hart überlegen sind, primär durch Testosteron. Wenn zwei gleich lange MMA-Kämpfer antreten, und es gibt keine signifikanten Faktor ausser Mann vs Frau, wird der Mann nach der Pubertät gewinnen ohne sich gross anzustrengen.

Und hey, ich als männliche Bürodrohne kenn Frauen die mich physikalisch fertig machen können. Bei vielen Anderen fragt man sich, ob die das im Moment wirklich versuchen. Bis man feststellt, dass die ersteren Damen es im Ernstfall auf ekelige Dinge wie Gelenk-Überdehnungen und Brechungen anlegen. Sorry, ist leider so.

Schach gehört nicht dazu.

Und darum finde ich find es korrekt, dass Frauen-Schach getrennt wird, weil es einfach weniger Frauen gibt, die professionell Schach spielen. Und dann kommen noch Belästigungen und sexuelle Übergriffe dazu, die die Menge von Spielerinnen weiter reduziert. Lichess hatte dazu letztens einen echt harten Artikel.

Und andersdrum tritt Judit Polgar echt vielen Männer auf dem Brett in die Weichteile.

Und wie man das dann mit Trans-Gedanken zusammenbringt… um ehrlich zu sein, keine Ahnung. Ich fände es besser, wenn Menschen in dieem Kontext Sex einfach ausblenden könnten.

Ich mein, Frauen sind so eine Sache. Was ist mit 10 Jahre alten Kindern die 2000 FIDE Elo haben?

Ich find es eigentlich schade, dass so ein egalitäres Konstrukt wie Schach defakto negativ in derartige Diskussionen reingezogen wird. Blunders sind Blunders meine Freunde.

DOTA auf Warcraft 3 Basis ist der Grossvater von LoL, DOTA2 und anderen vergleichbaren Spielen. Das Anzuschauen weckt gerade echte Nostalgie an komische wirre Starcraft I und Warcraft 3 custom maps. Gute, wenn auch wirre Zeiten.

I mean to a certain degree, I can understand if people find a problem with Poetterings approach of doing things !CORRECTLY!. Like, systemd-resolved resolving A-records with multiple addresses ina deterministic fashion because it’s not defined not to be deterministic, and because actual load balancing would be better. It’s not wrong, but it’s breaking everything. And it got patched after some uproar. And there are a few things like that.

But at the same time - I don’t think people appreciate how hard doing process management right on linux can be, especially if the daemon to run is shitty. Like, init scripts just triggering the shutdown port on a tomcat - except the tomcat is stuck and not reacting to the normal shutdown port and now you have a zombie process and an init script in a fucked up state. Or, just killing the main process and for some reason not really removing the children, now there’s zombies all over the place. Or, not trying appropriate shutdown procedures first and just killing things, “because it’s easier” - except my day just got harder with a corrupt dataset. Or, just trying soft and “Pwease wexit Mr Pwocess” signals and then just giving up. Or having “start” just crash because there was a stale PID from an OOM killed process around. Man I’m getting anxiety just thinking about this.

And that’s just talking about ExecStart and ExecStop, pretty much, which I have done somewhat correct in a few init scripts back in the day (over months of iteration of edge cases). Now start thinking about the security features systemd-analyze can tell you about, like namespaces, unmapping syscalls, masking parts of the filesystem, … imagine doing that with the jankyness of the average init.d script. At that point I’d start thinking about rebooting systems instead of trying to restart services, honestly.

And similarly, I’m growing fond of things like systemd-networkd, systemd-timesyncd. I’ve had to try to manage NetworkManager automatically and jeez… Or just directly handling networking with network-scripts. Always a pleasure. Chucking a bunch of pretty readable ini-files into /etc/systemd/networkd is a blessing. They are even readable even to people rather faint on the networking heart.

And even password based disk encryption can be defeated with 2-3 physical accesses if an organization wants to hard enough. Keyloggers can be very, very sneaky.

At that point you’d have to roll something like Yubikey-based disk encryption to be safe, because this re-establishes control over some physical parts of the system. Until they find the backup Yubikey you had to not lose all data by losing the primary key you’re carrying around to maintain control over it.

It’s not a battle the defending side can win.

Ich glaub du bist da auf halbem Weg zu einem legendären Powermetal-Song. Die unschlagbare Eichhorn-Kavalerie auf Seepferden des Hering-Königreiches der südlichen Nordsee! Zittert vor ihrer Macht! Mat? Maat? Ach. Zittert vor ihrem mächtigem Maat!

Hatten wir vor nen paar Wochen inner Firma. An einem Endpoint der API wurden ein paar Daten zuviel rausgegeben (zum Glück nur Daten des jeweiligen Kunden selbst). Wir wurden von nem Entwickler eines Grosskunden drauf hingewiesen. Und nach internem Prozess des Kunden auch direkt mit Datenschützern, Security-Officers und dergleichem im CC. Upsi.

Uns hats da echt den Hintern gerettet, zügig drauf zu reagieren. So war der Empfang für den Datenschützer, der aussem Wochenende kommen musste, ein “Haben wir reproduziert. Klingeln gerade Leute zum fixen zusammen”. So ist der Datenschützer dann zwar nicht glücklich, aber man ist als Dienstleister in einer deutlich besseren Position - sowohl dem Kunden gegenüber, als auch einer potentiellen Datenschutzklage. Am Ende war er dann auch eher mit dem “prompten Umgang mit einer schlechten Situation” zufrieden.

Wow. I’m not particularly sensitive, but that seems like the right amount of very bright strobe that gives me headaches in concerts, especially at night in the dark. That’s very much the level of trying to find out a way to get to the roof to unplug it.

And that skeleton of a system becomes easier to test.

I don’t need to test ~80 - 100 different in-house applications on whatever many different versions of java, python, .net and so on.

I rather end up with 12 different classes of systems. My integration tests on a buildserver can check these thoroughly every night against multiple versions of the OS. And if the integration tests are green, I can be 95 - 99% sure things will work right. The dev and testing environments will figure out the rest if something wonky is going on with docker and new kernels.

Entirely true.

I’m currently working on a little project that’s interesting to me (a low-spoiler walkthrough system for adventure games) and after a lot of back and forth, I decided to cut all of JS out of the picture. Just get rid of all of it, and do good old 90s server-side rendered HTML with modern CSS placed on top of it.

And that’s, honestly, a joy. The first draft of a page looks like the first screenshot, then you add some semantic classes to the html and throw some simple CSS at it and it looks acceptably neat. And I could get rid of so much janky toolchain I just fail to understand.

Ich muss immer noch drüber lachen. Paar Jahre zurück hab ich 2-3 unsere Firmen-Standorte besucht.

Die Niederlande waren grossartig. Man konnte nen Grossteil der einfachen Sprache verstehen und mit ein wenig Nuscheln und Platt verstanden auch andere einen gut genug.

Und dann kamen wir nach München. Da hab ich mich irgendwann auf Englisch verständigt. Weil… nei. Wat?

Kalt gebrauter grüner Tee tritt einen Morgens echt gut aus dem Bett.

Die FSTab ist die grundlegende Information für den startenden Kernel, um sein Filesystem aus Platten, Netzwerk-Platten und anderem Kram zusammenzupuzzlen. Das Ding hat soviele Fusspistolen eingebaut - mehr oder weniger alles kann richtig oder auch falsch sein, und manchmal auch beides. Selbst wenn man das ein paar Jahre macht fühlt sich direktes FStab-Handling wie Jenga auf einer Rüttelmaschine an.

Soweit ich mich erinner, generiert systemd-mount die /etc/fstab im Hintergrund. Es gibt also kein entkommen, es wird nur weniger fummelig :)

IMO, this is the elephant in the room.

If you’re looking at what people used CentOS or Rocky or Alma for - dev systems, CI systems, … These aren’t lost sales. If you forced them to off of their solution, they aren’t going to pay the price tag and management/installation pain of RHEL. If they have people knowing how to run Linux, they’ll use something else. And sure, they are drawing some resources from RH (bandwidth for packages at the very least), but they are giving the RH system a larger footprint in deployed systems. And people running it had a positive opinion about the system.

But Oracle Linux is a different beast. Here a company is poaching large customers willing to pay for support by repackaging your product for less effort. It sucks, but it’s entirely consistent for Oracle to be part of ruining a good thing.

Ich mein, man soll nicht von einem Sommer aufs Klima schliessen, das ist richtig.

Ich hab hier im Schrank aber z.B. lange Unterhosen oder auch Rollkragen-Pullis, deutlich dickere Socken, ne dicke Winterjacke. Die Winterjacke hab ich die letzten 12 Monate glaub ich 1-2x mehrfach gebraucht. Aber die wirklich dicken Winterklamotten hatte ich - glaub ich - hier in Hamburg vor 3-4 Jahren einmal rausgekramt, und davor im Studium immer mal wieder. Das ist aber auch schon 10 - 15 Jahre her. Dieses Jahr hatte ich hauptsächlich meine Winterjacke an weil meine Sommerjacke in mehreren Weisen auf einmal desintegriert ist und ich defakto faul war.

Und wenn ich so in die Vergangenheit denke. Es waren mal Schlagzeilen dass es nun 30 Grad wird, und man soll ja bloss auf sich aufpassen, dass man die Woche bloss nix grosses einplanen soll, usw. Nu heisst das halt Juni. Juni, weil der Juli halt heisser wird.

Vor allem sind Updates von Snaps echt nervig, im Vergleich zu Flatpak. Bei Flatpak wird das Update im Hintergrund runtergeladen und beim nächsten Restart der Anwendung (oder komplettem Reboot) fährt die neue Version hoch. Simpel, und funktioniert.

Snap auf der anderen Seite braucht immer erstmal 2-5 Minuten nach Login um seine Updates zu finden… und fordert dann ein dass man die Applikation bitte schliessen soll für ein Update… und spammt einen mit Notifications dadrüber zu. Das ist echt grossartig, wenn man zusätzlich mehr oder weniger dazu gezwungen wird, Firefox oder Chrome via Snaps zu installieren.