Use Containers they said.
It’d be more secure, they said.
Until CVE-2019-5736 was disclosed.
DIB_DETECTING_AGILE_BS_2018.10.05.PDF
Das Pentagon hat sich vom Defense Innovation Boards ein Papier erarbeiten lassen, wie Agile BS zu erkennen ist. Die ein oder andere Frage wird dem geneigten Leser aus der Softwarebranche sicher bekannt vorkommen.
Das Paper ist hier: DIB_DETECTING_AGILE_BS_2018.10.05.PDF
Facebook’s Charme Offensive
Sieht so aus als ob Facebook nicht groß was an dem Umgang mit Privacy ändern will. Stattdessen werden Kritiker von dem Konzern eingekauft. Man wird nicht damit rechnen können, dass sich da von innen heraus was verändern wird. Gerade nachdem erst einmal angekündigt wurde, noch mehr Daten zu sammeln.
F-Bomb Analysis
Das Gewalt in amerikanischen Filmen leichter Jugendfreigabe bekommt als Sprache ist ja ein gerne gepflegtes Bonmot. Dass die Regeln dafür teilweise sehr genau definieren, was zum Ausschluß aus bestimmten Kategorien führt, wusste ich bis heute nicht.
In diesen Kategorien wurde – der Wikipedia zufolge – PG-13 1984 als eine Konsequenz einer Debatte um Indiana Jones und Gremlins eingeführt und weist darauf hin, dass der Film für Kinder nicht besonders für Kinder unter 13 geeignet ist.
Wenn Patrick Willems, der Urheber der folgenden Analyse recht hat, gehört zu den Regeln unter der ein Film noch PG-13 sein darf, dass höchstens ein einziges Mal das F*** Wort vorkommen darf. Die Umstände der Verwendung hat er sich einmal angeschaut:
Product Manual
Als “Product Hunt Product #4 of December 2017” ist das sicher keiner der heissen Tips. Product Manual ist aber trotzdem für jeden Produkt-Manager eine Erwähnung wert, weil sich zu allen relevanten Themen in der kuratierten Sammlung dort etwas findet. Angefangen von der Definition von Produkt-Management über Benutzer-Interaktion (Umfragen!) und Prototypen bis zur Strategie-Entwicklung.
Loaded with articles, videos, podcasts, and more, Product Manual is your essential guide to building remarkable products.
Source: Product Manual
PEAR PHP gibt es noch
PEAR PHP ist Rechnologie, die schon im Einsatz war als ich noch PHP programmiert habe. Das war 1999. Schon damals hatte das keinen besonders guten Ruf. Offenbar gibt es das Repository immer noch. Und es scheint immer noch problematisch zu sein.
If you installed PEAR PHP in the last 6 months, you may be infected
Pear.php.net shuts down after maintainers discover serious supply-chain attack.
Source: Ars Technica
Blues Brothers Movie Mash Up
Für den französischen Filmemacher Fabrice Mathieu sind Jake und Elwood Blues im Auftrag des Herren durch eine ganze Reihe von Filmen unterwegs.
Agent J of the MIB is in prison. He swindled Aliens while on the job.
Today he is released for a new mission.
The Aliens are waiting for him!
Der Mashup von fast 20 Science-Fiction Filmen mit den Blues Brothers passt ganz herrlich zusammen:
Der französische Filmemacher Fabrice Mathieu hat sich für sein Movie Mash Up „Men in Black“ jede Menge SciFi-Filme genommen und mit den Blues Brothers zusammengetan. Das passt ganz wund…
via: Das Kraftfuttermischwerk, also: Laughing Squid
Drone Freestyle
Drohnen können ja mehr als Wegpunkte abfliegen und Ihren Besitzern folgen. Racing und Freestyle-Drohnen verlangen Ihren Piloten einiges an Flugkunst ab, führen aber bislang eher ein Dasein in einer Nische. Vor allem, weil das Hobby nicht nur für die kognitiven Fähigkeiten sehr anspruchsvoll ist, sondern auch technisch ein solides Wissen von Hard- und Software erfordert.
Ein kleiner Schritt zu einer breiteren Öffentlichkeit trägt FM4’s Webtipp vom Montag 21. Januar 2019 bei. Im Rahmen der Sendung Update wird ein Video empfohlen, in dem ein Pilot Namens Fincky FPV eine verlassene Fabrik abfliegt und dabei wirklich beeindruckende Bilder abliefert.
Infosec community
Gerade brennt eine Security Diskussion darum, dass Videolan Updates für seinen Mediaplayer nur über http:// ausliefert. Auch meiner Meinung nach entspricht das nicht dem Standard von 2019, aber hey. Wohl hatten die Entwickler verschiedene Argumente, an dem Verfahren festzuhalten. Signaturen via gpg, Maintenance, Aufwand und so.
Jedenfalls eröffnet die Situation eine spannende Diskussion darüber was denn nun das richtige Vorgehen ist und vor allem: wer denn nun Recht hat. Die Videolan Community jedenfalls scheint die Kollegen von Infosec nicht sehr sympathisch wahrzunehmen.
Aus meiner professionellen Erfahrung muss ich leider konstatieren: auch anderswo gibt es keineswegs einen Zusammenhalt von Dev und Sec. Die Wahrnehmung wird in vielen Softwareentwicklungsteams sehr ähnlich sein. Viel mehr ist das ein ständiges sich gegenseitig sich anpöbeln. Ganz ähnlich wie in der beschriebenen Fall.
Das ist sogar nachvollziehbar weil es zwei Parteien sind, die individuelle Interessen vertreten. Und es gibt aus der Situation in der Regel auch keinen vernünftigen Ausweg, weil die Incentivierung der Teams nicht das gleiche Ziel anstreben. Security ist damit Teil eines Problems und nicht Teil einer Lösung.
“So könnt Ihr das nicht machen” eröffnen die einen, deren Auftrag es ist, Fehler in Software zu finden. “Hey, wir haben uns da Monatelang was dabei gedacht” halten Entwickler dann dagegen und schon ist die Debatte in vollem Gang.
Gerade weil in der Regel das Aufgabengebiet der Security Kollegen sich darauf beschränkt, Fehler aufzuzeigen, ist es für die gegenüber stehende Partei nur nachvollziehbar, jedes Audit als Quelle für zusätzliche, oft kaum nachvollziehbare Arbeit oder sogar Schikane wahrzunehmen.
Wenn Infosec auch einen Weg aufzeigen kann, der mit der Situation der Entwickler vereinbar ist, gelingt es sichere Software zu schreiben. Nur Fehler aufzuzeigen ist dafür zu wenig.
Im Fall von Videolan wird die Debatte nun öffentlich geführt, was nicht sehr schön zu verfolgen ist, aber es ist eine notwendige Debatte für jede tiefere Integration von Development und Security.
You know you want to try it!
Meanwhile at @shmoocon, everyone.