dSSr Friendica | elrido @ dSSr Friendica

elrido

elrido@social.dssr.ch

C/C++/Rust Entwickler mit Schwerpunkt Sicherheit (C/C++/Rust developer, focused on security)

Folge

Netzwerkbeiträge

Zurich, Switzerland

http://simon.rupf.net/

elrido hat dies geteilt

Aral Balkan

4 Tage her (Empfangen 3 Tage her) • •

Aral Balkan
4 Tage her (Empfangen 3 Tage her) • •

Look, Jeff Atwood, it is difficult to take you seriously when you write authoritatively on a subject you clearly don’t understand.

GDPR doesn’t mandate cookie notices.

Cookie notices are *malicious compliance* by the surveillance-driven adtech industry.

If you’re not tracking people, you do not need a cookie notice, period.

If you’re only using first-party cookies for functional reasons, you do not need a cookie notice, period.

If you’re using third-party cookies to track people – i.e., if you’re sharing their data with others – then *you must have their consent to do so*. Because, otherwise, you are violating their privacy. Even then, the law doesn’t mandate a cookie notice.

How would you conform to EU law without a cookie notice if your aim wasn’t malicious compliance?

You would not track people by default and you would make it so they have to go your site’s settings to turn on third-party tracking if, for some inexplicable reason, they wanted that “feature”.

Look, Jeff Atwood, it is difficult to take you seriously when you write authoritatively on a subject you clearly don’t understand.

GDPR doesn’t mandate cookie notices.

Cookie notices are *malicious compliance* by the surveillance-driven adtech industry.

If you’re not tracking people, you do not need a cookie notice, period.

If you’re only using first-party cookies for functional reasons, you do not need a cookie notice, period.

How would you conform to EU law without a cookie notice if your aim wasn’t malicious compliance?

You would not track people by default and you would make it so they have to go your site’s settings to turn on third-party tracking if, for some inexplicable reason, they wanted that “feature”.

Boom!

No cookie notice necessary.

What’s that?

But that would destroy your business because your business is founded on the fundamental mechanic of violating people’s privacy?

Good.

Your business doesn’t deserve to exist.

Because the real bullshit here isn’t EU legislation that protects the human right to privacy, it’s the toxic Silicon Valley/Big Tech business model of farming people for data that violates everyone’s privacy and opens the door to technofascism.

infosec.exchange/@codinghorror…

Jeff Atwood

2025-08-30 22:54:27

Look, EU, it is difficult to take you seriously when you forced all this cookie notification bullshit on us. That feature a) should not exist and b) if it did, should be a BROWSER feature not "every website in the entire world now has to bother everyone forever about this stupid thing" blog.codinghorror.com/breaking…

Breaking the Web’s Cookie Jar
The Firefox add-in Firesheep caused quite an uproar a few weeks ago, and justifiably so. Here’s how it works: * Connect to a public, unencrypted WiFi network.
^{Jeff Atwood (Coding Horror)}

Dieser Beitrag wurde bearbeitet. (4 Tage her)

teilten dies erneut

Als Antwort auf Pēteris Caune

Pēteris Caune

Als Antwort auf Pēteris Caune • 4 Stunden her • •

@mathew @mkj @praerien
I made a script that tracks Latvian websites that have the "load cookies first then ask for permission" problem: https://sīkdatnes.lv

For problematic sites, I send an informal email explaining the problem and asking to fix it. In case of no action, I send a formal, signed complaint. And then in case of no action, I report them to our country's DPA.

In quite a few cases the informal email is enough, and the issue gets acknowledged and fixed.

@mathew @mkj @Rune

Dieser Beitrag wurde bearbeitet. (4 Stunden her)

Als Antwort auf Pēteris Caune

Aral Balkan

Als Antwort auf Pēteris Caune • 4 Stunden her • •

@cuu508 @mathew @mkj @praerien Nice :)

@mathew @mkj @Pēteris Caune @praerien

elrido hat dies geteilt

zeitverschreib [friendica]

2 Wochen her von Phanpy for YNH • •

zeitverschreib [friendica]
2 Wochen her von Phanpy for YNH • •

Memes only old(er) people will understand.

teilten dies erneut

Als Antwort auf zeitverschreib [friendica]

Albert Hickey

Als Antwort auf zeitverschreib [friendica] • 2 Wochen her • •

Back in the day I worked in tech support for a large computer manufacturer who was sending out PCs with network cards installed with BNC terminals. All passed in production but if the customer booted the desktop up without it being connected to a network the computer would freeze.
Tech Support found the fix was to add a terminator on the unused network card. We told the factory and they added it to the BOM and build so the customer experience would be improved.

Als Antwort auf Albert Hickey

zeitverschreib [friendica]

Als Antwort auf Albert Hickey • 2 Wochen her • •

@Albert Hickey Reminds of when I installed network cards in a 286 and 386, respectively. Yeah, I was young back then.

The connection just didn't work. Checked the IRQ settings on the cards, re-installed the drivers, swapped the cable, T-adapters, took both cards back to the local dealer. New cards, same problem.

Then the guy tossed the terminators into the part bin (not the trash bin, mind you), gave me two new ones. You guessed it, problem solved.

But now there was at least one faulty part still on sale. *g*

@Albert Hickey

Als Antwort auf zeitverschreib [friendica]

Benjamin Kwiecień 🇵🇸

Als Antwort auf zeitverschreib [friendica] • 2 Wochen her • •

I don't even know what this is. A terminator?

Als Antwort auf Benjamin Kwiecień 🇵🇸

zeitverschreib [friendica]

Als Antwort auf Benjamin Kwiecień 🇵🇸 • 2 Wochen her von Tusky • •

@Benjamin Kwiecień 🇵🇸 Correct. 👍

@Benjamin Kwiecień 🇵🇸

elrido hat dies geteilt

Wolfgang Stief

2 Wochen her • •

Wolfgang Stief
2 Wochen her • •

Talks by Brian Kernighan are mostly entertaining, but rare. The most recent one I'm aware of was at this years VCF East (April 2025). It's about the history of UNIX and his time at Bell Labs. Enjoy: youtube.com/watch?v=WEb_YL1K1Q… #vintagecomputing #retrocomputing #oralhistory #technistory #unix

UNIX: A History and a Memoir by Brian Kernighan

Brian Kernighan talks about the history of UNIX and promotes his 2019 book.

^YouTube

#retrocomputing #Unix #vintagecomputing #oralhistory #technistory

elrido hat dies geteilt.

elrido hat dies geteilt

Marcel Waldvogel

2 Monate her • •

Marcel Waldvogel
2 Monate her • •

"Nobody is fired for chosing Microsoft," lautet ein geflügeltes Wort.

Das impliziert aber auch, dass Leute gefeuert werden, die sich gegen die Einführung von #Microsoft-Lösungen stellen. Genau das scheint im Kanton #Luzern dem IT-Sicherheitschef passiert zu sein, wie eine Reportage von @adfichter in der #Republik zeigt. (Der Kanton dementiert.)
republik.ch/2025/06/16/microso…

Es knallt in den Kantonen

Der Luzerner Regierungsrat stellt den kantonalen IT-Sicherheitschef frei – aufgrund dessen Kritik an der Einführung der Microsoft-Cloud.

^{Adrienne Fichter (Republik)}

#Microsoft #luzern #republik @Adfichter

Dieser Beitrag wurde bearbeitet. (2 Monate her)

teilten dies erneut

Unbekannter Ursprungsbeitrag

Baklava Monster

Unbekannter Ursprungsbeitrag • 2 Monate her • •

@patrislav @lnp @linuzifer @timpritlove das M in IBM steht für ...

@Tim Pritlove @patrislav ♾️ #RIPNatenom @Logbuch:Netzpolitik @linuzifer

Unbekannter Ursprungsbeitrag

Christofuzius

Unbekannter Ursprungsbeitrag • 2 Monate her • •

@rahel_estermann also seinen Job gemacht hat.

@Rahel Estermann

elrido hat dies geteilt

CoSin

3 Monate her • •

CoSin
3 Monate her • •

Die CoSin Eintrittsbadges sind bereit und warten auf euch! Kommt zahlreich! 😺
Es gibt genug Badges, mehr als auf dem Bild.

Bitte bringt aber eure eigenen Bändel / Lanyards mit! (Beispielsweise von der letzten CoSin.) Wir haben nur eine sehr begrenzte Anzahl zur Ausgabe.

#cosin2025

Stack of cut out CoSin entrance badges ready to be distributed.

#cosin2025

teilten dies erneut

Als Antwort auf CoSin

friendica (DFRN) - Link zum Originalbeitrag

elrido

Als Antwort auf CoSin • 3 Monate her •

Ich freue mich schon riesig drauf!

Danke für den Hinweis zum Bändel. 👍

elrido

3 Monate her •

(Schweiz)

elrido
3 Monate her — (Schweiz) •

Heute wäre Jean Tinguely 100 Jahre alt geworden. Seinem Werk begegnet man in der Schweiz immer wieder mal, z.B. Heureka am Zürichhorn im Seefeld. Ich mag seine beweglichen Maschinen - man entdeckt immer wieder etwas neues daran.

Skulptur Heureka am Zürichhorn im Seefeld Quartier

elrido hat dies geteilt

GNU/Linux.ch

6 Monate her • •

GNU/Linux.ch
6 Monate her • •

Wer schon am Donnerstag den "I Love Free Software Day" mit uns feiern möchte und in der Nähe von Zürich ist, ist willkommen. /Ralf

gnulinux.ch/zum-wochenende-i-l…

Zum Wochenende: I Love Free Software Day

Alle Jahre wieder feiern wir den "I love free software day". Viele Organisationen und Personen sagen Danke! So auch die FSFE in der Schweiz.

^GNU/Linux.ch

elrido hat dies geteilt.

elrido

7 Monate her •

(Schweiz)

elrido
7 Monate her — (Schweiz) •

#PrivateBin v1.7.6 released - Several quality-of-life frontend improvements & some backend code cleanup

I think we could now consider switching from the bootstrap 3 to the bootstrap 5 template as the default in the next release. Still need to migrate the templates of the info and directory websites to use bootstrap 5, though, so it all looks the same.

Is changing the look-and-feel of the default template, while keeping all of it's functionality the same, considered a major number change in terms of semantic versioning? We would not remove the old template, so if the old one is configured it would keep looking the same. See for example our template screenshots for a comparison of the two.

#privatebin

elrido hat dies geteilt

Sequoia PGP

7 Monate her • •

Sequoia PGP
7 Monate her • •

@lwn has published a review of sq. From the article:

"The first 1.0 release of a project is sometimes a bit rough, but in Sequoia's case that does not appear to be the case. The tool supports all of the basic operations of an OpenPGP implementation, integrates well with existing software, and has a discoverable interface that makes it easy to come up to speed in a short time."

lwn.net/SubscriberLink/1003243…

#pgp

A look at the Sequoia command-line interface [LWN.net]

^lwn.net

#pgp

teilten dies erneut

elrido

9 Monate her •

(Schweiz)

elrido
9 Monate her — (Schweiz) •

#PrivateBin v1.7.5 released - minor bugfixes and quality of life improvements for administrators

#privatebin

elrido hat dies geteilt

CoSin

1 Jahr her • •

CoSin
1 Jahr her • •

CoSin 2024 live streams:

👉 streaming.media.ccc.de/cosin20…

#cosin2024

Live-Streams – Chaos Singularity 2024 Streaming

Die Chaos Singularity ist eine Mischung aus technisch-gesellschaftlichem Kongress, kreativem Beisammensein und Hacker-Familientreffen.

^{streaming.media.ccc.de}

#cosin2024

teilten dies erneut

elrido hat dies geteilt

Hernâni Marques

1 Jahr her • •

Hernâni Marques
1 Jahr her • •

#BerndFix an der #CoSin2024 mit #WikiLeaks-Vortrag - zu #FreeAssange und (jetzt) #AssangeFree.

Es wird eine Gesamtübersicht seit den ersten Kontakten mit #JulianAssange 2008 (am CCC-Kongress) angekündigt; Bernd rekapituliert die Geschichte seither.

Punkto Spendeneinnahmen ist gleich einmal interessant:

Nach der Publikation der US-Depeschen nahm das Spendenaufkommen via #PayPal massiv zu: ca. EUR 100k / d wurden eingenommen - bis zum Punkt, wo PayPal das Konto der Stiftung @wauland sperrte.

#julianassange #wikileaks #paypal #FreeAssange #cosin2024 #berndfix #assangefree @wauland

Dieser Beitrag wurde bearbeitet. (1 Jahr her)

elrido hat dies geteilt.

Als Antwort auf Hernâni Marques

Hernâni Marques

Als Antwort auf Hernâni Marques • 1 Jahr her • •

Beim Besuch der Botschaft ferner zu beachten: die spanische Firma #UCGlobal war von der ecuadorischen Regierung beauftragt, für die Sicherheit (gerne hier: #Totalüberwachung) der Besuche / Besucher zu sorgen.

Wie später nämlich publik wurde, sind auch Geräte geöffnet und verwanzt, Daten abgesaugt worden usw.

Dies ist auch Gegenstand eines laufenden juristischen Verfahrens.

#totalüberwachung #ucglobal

Dieser Beitrag wurde bearbeitet. (1 Jahr her)

Als Antwort auf Hernâni Marques

Hernâni Marques

Als Antwort auf Hernâni Marques • 1 Jahr her • •

Mit dem #Machtwechsel in #Ecuador von Correa zu Moreno wurde der Druck auf den nunmehr "unerwünschten Gast" #JulianAssange erhöht. Im Zuge dessen wurde ihm der via Correa in der Amtszeit zuvor ausgestellte ecuadorianische Pass entzogen und organisiert sowie medial inszeniert, dass er aus der Botschaft rausgeworfen wurde - in die Hände der britischen Polizei, so dass er schliesslich nach #Belmarsh (besser: #Hellmarsh) kam.

#ChaosSingularity #CoSin #CoSin2024 #FreeAssange #AssangeFree #WikiLeaks

#julianassange #wikileaks #FreeAssange #Cosin #ecuador #belmarsh #cosin2024 #chaossingularity #assangefree #machtwechsel #hellmarsh

Dieser Beitrag wurde bearbeitet. (1 Jahr her)

Als Antwort auf Hernâni Marques

Hernâni Marques

Als Antwort auf Hernâni Marques • 1 Jahr her • •

Fast-Forward zur Gegenwart nun - zum Rahmen des #PleaDeal|s, der in #Saipan inmitten des Pazifiks von einer US-amerikanischen Richterin besiegelt wurde, gilt für Julian auch eine #Generalamnestie gegenüber den US-Behörden für die gesamte betroffene Zeit, bis und mit zum #AssangeFree-Tag.

#assangefree #pleadeal #saipan #generalamnestie

Dieser Beitrag wurde bearbeitet. (1 Jahr her)

Als Antwort auf Hernâni Marques

Hernâni Marques

Als Antwort auf Hernâni Marques • 1 Jahr her • •

Zum Finanziellen des Ganzen - von #FreeAssange zu #AssangeFree:

Für die Anwälte wurden für zehn Teams in acht Ländern EUR 12 Mio. ausgegeben.

Das Geld für die immensen juristischen Ausgaben kam von der "Einkaufsgesellschaft" #AssangeDAO, die ein #NFT vom Künstler pak gekauft hat.

pak hat in dem Rahmen 16'593 #ETH (#Ethereum) eingenommen, was (damals) umgerechnet ca. EUR 52 Mio. waren. Das Geld hat er im Februar 2022 an die #WHS-Stiftung gegeben, wo Kryptowährungen auf einem Hoch waren.

#FreeAssange #Ethereum #nft #eth #AssangeDAO #assangefree #whs

Dieser Beitrag wurde bearbeitet. (1 Jahr her)

Als Antwort auf Hernâni Marques

Hernâni Marques

Als Antwort auf Hernâni Marques • 1 Jahr her • •

Total hat die #WHS ca. 11'000 #ETH getauscht - immer nach Bedarf. In Fiat-Währung umgerechnet waren das über die rund zwei Jahre tatsächlich ca. EUR 17 Mio., weil der #Ethereum-Kurs in den diesen Jahren auch (länger) weiter unten war.

Dies bedeutet folglich, dass noch ca. 5'000 #ETH da sind, wo jetzt geschaut werden muss, was damit zu machen ist; gegeben die Tatsache, dass der Spenderwille (vom Künstler pak) im Wesentlichen erfüllt ist.

#Ethereum #eth #whs

Dieser Beitrag wurde bearbeitet. (1 Jahr her)

Als Antwort auf Hernâni Marques

Hernâni Marques

Als Antwort auf Hernâni Marques • 1 Jahr her • •

Ich stelle die Frage, was mit Leuten wie #OlaBini und anderen vom #WikiLeaks-Umfeld ist.

Dazu sagt Bernd, dass nicht ausgeschlossen werden kann, dass die US-Regierung gegen das (erweiterte) Umfeld von WikiLeaks noch einmal eine Keule auspackt. Es müsse dann geschaut werden, wie vorgehen.

Das #NFT-Geld kann dafür zumal nicht genutzt werden, weil das nicht dem expliziten pak-Wunsch entspräche. Juristisch betrachtet sei dies klar an ihm gebunden.

#wikileaks #nft #olabini

Dieser Beitrag wurde bearbeitet. (1 Jahr her)

Als Antwort auf Hernâni Marques

Hernâni Marques

Als Antwort auf Hernâni Marques • 1 Jahr her • •

Fun-Fact noch dazu: wegen dem erwähnten Prozess gegen #UCGlobal, wo Andy Müller-Maguhn und Bernd im #Strafprozess als Nebenkläger auftreten (juristischer Kostenpunkt: EUR 7'500; dies im Kontext ehrenamtlicher Stiftungsratsarbeit, ohne also Lohn zu beziehen), hat das Finanzamt #Hamburg im Februar 2024 abermals die #Steuerbefreiung entzogen; erneut wurde eine Darstellung erprobt, die Stiftungsräte profitierten von dem Geld. Dabei kam von den involvierten Anwälten gar nie eine Rechnung...

#hamburg #strafprozess #steuerbefreiung #ucglobal

Dieser Beitrag wurde bearbeitet. (1 Jahr her)

Als Antwort auf Hernâni Marques

Hernâni Marques

Als Antwort auf Hernâni Marques • 1 Jahr her • •

... d. h.: die EUR 7'500 wurden nicht überwiesen, weder an Anwälte noch sonst irgendwohin. Das wurde dem Finanzamt auch mitgeilt. Nach viermonatiger "Arbyte" hat das Finanzamt vor zwei Tagen festgestellt, dass es wieder wilde Theorien über den Korruptionsgrad der Stiftungsräte aufgestellt hat; entsprechend ist die #Steuerbefreiung von @wauland wieder hergestellt. - just vor zwei Tagen, also am 27.6.2024! 🍾 ✊

(Da hat sicher das jüngste mediale Licht #FreeAssange -> #AssangeFree geholfen. 😉)

#FreeAssange #assangefree #steuerbefreiung @wauland

Dieser Beitrag wurde bearbeitet. (1 Jahr her)

Als Antwort auf Hernâni Marques

Christian Pietsch 🍑

Als Antwort auf Hernâni Marques • 1 Jahr her • •

Lenin? Ach du meinst Lenín Moreno. In Deutschland nennt man meist seinen Nachnamen.

Als Antwort auf Christian Pietsch 🍑

Hernâni Marques

Als Antwort auf Christian Pietsch 🍑 • 1 Jahr her • •

K/A, habe den gerade nicht zur Hand gehabt. Der Kontext ist #Ecuador; zumal auch der Ausdruck da steht, "von Correa zu Lenin", was überzufälligen Charakter hat.

#ecuador

Dieser Beitrag wurde bearbeitet. (1 Jahr her)

Als Antwort auf Hernâni Marques

Hernâni Marques

Als Antwort auf Hernâni Marques • 1 Jahr her • •

@christian (Soll heissen: "Correa" spielt in einem russischen oder sowjetischen Kontext keine gesteigerte Rolle.)

@Christian Pietsch 🍑

elrido hat dies geteilt

Dgar

1 Jahr her • •

Dgar
1 Jahr her • •

Skeletor says: ADD COMMA'S TO YOUR PASSWORDS TO MESS WITH THE CSV FILE THEY WILL BE DUMPED INTO AFTER BEING BREACHED

Skeletor walks off: UNTIL NEXT TIME

teilten dies erneut

elrido

1 Jahr her von Tusky •

elrido
1 Jahr her von Tusky •

Auf zum #RustFest.ch #rust

#rust #RustFest.ch

Als Antwort auf elrido

elrido

Als Antwort auf elrido • 1 Jahr her •

Group picture from the first day.

Took a lot of notes, my highlights so far were:

Massimilianos' RP2040-based, Rust-driven robot racer
options to improve handling of bitfields in packed structs
typestate pattern for use in state machines, think objects that mutate into different types as the states progress, so only methods relevant to the current state are available and enforced at compile time, ex. rustls::ConfigBuilder
Milica shared her teams' experience switching from C++ to Rust
Simon Brummers' text-2-morse-code character device driver, an excellent example project to get started with Rust-based Linux-kernel-module development

Grandmaster Bash hat dies geteilt.

elrido

1 Jahr her •

(Schweiz)

elrido
1 Jahr her — (Schweiz) •

It fills a lot of gaps and backstory of Immortan Joe and the citadel and the other wasteland towns and of course, Furiosa. It ends just before Fury Road hits off and even has short scenes from Fury Road as reminders of how that story went during the end c

Did go see Furiosa tonight, can highly recommend, if you enjoy George Miller's Mad Max series. I'd call this the Rogue One of the series. 🤩

Arguably, Max does briefly show up in this one, but it is only a vague reference via the iconic car and a brief shot of a man standing next to it with his back towards the audience. Bit like in the early Fury Road trailer.

Edit: Removed the CW reg. mild spoilers. Doesn't seem to translate properly to Mastodon, messed up the order of the content and didn't hide anything. Sorry.

elrido

1 Jahr her •

(Schweiz)

elrido
1 Jahr her — (Schweiz) •

Congratulations @Natanael Copa on the release of Alpine Linux 3.20!

I know how much of an effort this one turned out to be and can not thank you enough for all of your efforts to get this one over the line and into our hands.

@Natanael Copa

elrido hat dies geteilt

DLR_next

1 Jahr her • •

DLR_next
1 Jahr her • •

Auf swpc.noaa.gov findet ihr Vorhersage für Polarlichter. Einfach im Laufe des Tages oder frühen Abends noch mal checken.

Eine Grafik zeigt die Nordhalbkugel der Erde mit den Konturen der Kontinente und Länder. Darauf ist in grün, gelb und rot die Wahrscheinlichkeit für Polarlichter eingetragen. Das aktuelle Bild zeigt dabei einen gigantischen roten Bereich, der sich auf der Nachtseite der Erde ungewöhnlich weit nach Süden erstreckt.

Homepage | NOAA / NWS Space Weather Prediction Center

^{swpc.noaa.gov}

teilten dies erneut

elrido

1 Jahr her •

(Schweiz)

elrido
1 Jahr her — (Schweiz) •

Had a productive weekend. Could release PrivateBin 1.7.2, which includes a new template, as well as convert2json 0.8.4. And I had a nice bike tour around the nearby Greifensee.

MadMike77 hat dies geteilt.

elrido hat dies geteilt

Emmanuele Bassi

1 Jahr her • •

Emmanuele Bassi
1 Jahr her • •

In retrospect, we should have figured out that Jia Tan was a plant from the fact that they showed up to do releases. In 20+ years of contributions to FLOSS projects I haven't found anybody willing to do the same.

elrido hat dies geteilt.

Als Antwort auf Emmanuele Bassi

Jason Petersen (he)

Als Antwort auf Emmanuele Bassi • 1 Jahr her • •

wait that was an option? I could just do releases for projects?

Als Antwort auf Jason Petersen (he)

Emmanuele Bassi

Als Antwort auf Jason Petersen (he) • 1 Jahr her • •

sure you can; collecting items for the change log, running the dist with the test suite, uploading release artefacts, writing release notes and announcements… it’s a “boring” job, so very few people show up to do that

elrido

1 Jahr her •

(Schweiz)

elrido
1 Jahr her — (Schweiz) •

One does not simply
telnet into Mordor.

One ssh-es in,
using an exploit in a compression library,
shipped to them by their trusted distro in a supply chain attack.

elrido hat dies geteilt

rugk

1 Jahr her • •

rugk
1 Jahr her • •

Note on all the #xz drama, there are some technical solutions for such #supplychainattack that can make such an attack way harder, at least to hide the code in tarballs etc.

slsa.dev/ e.g. is a solution. Combined with reproducible builds, it ensures that a software artifact is built exactly from the source given in a source repository, with the possibility to prove that and no way for any maintainer to tamper with (in the highest level).

#slsa #infosec #security #linux #backdoor

Supply-chain Levels for Software Artifacts

SLSA is a security framework. It is a check-list of standards and controls to prevent tampering, improve integrity, and secure packages and infrastructure in your projects, businesses or enterprises.

^SLSA

#linux #security #infosec #Backdoor #supplychainattack #xz #SLSA

elrido hat dies geteilt.

Als Antwort auf rugk

rugk

Als Antwort auf rugk • 1 Jahr her • •

Furthermore produced software artifacts proofs are written into a database similar to #certificateTransparency.

We have recently implemented this in #PrivateBin and it works great: github.com/PrivateBin/PrivateB…

Of course practically, people (especially software consumers) needed to verify it, to be worth the work.

Obviously, it's no magic bullet. It just raises the burden for an attacker. Obviously, the source code repo could be made to contain bad code, but you cannot anymore tamper at built-time.

Getting SLSA ("Supply-chain Levels for Software Artifacts") compliance · Issue #1169 · PrivateBin/PrivateBin

The problem Any software can introduce vulnerabilities into a supply chain. As a system gets more complex, it’s critical to already have checks and best practices in place to guarantee artifact int...

^GitHub

#privatebin #certificatetransparency

Als Antwort auf rugk

rugk

Als Antwort auf rugk • 1 Jahr her • •

The way this works, is, essentially, quite easy: the whole build process is documented in the same repository, builds are automated via CI/CD and all that is, to reach best support, done in an environment that prevents tampering and (crucially) is *out of your control*.

Then you get #SLSA v3: slsa.dev/get-started#slsa-3 (quite easy with GitHub Actions)

Get started

If you’re looking to jump straight in and try SLSA, here’s a quick start guide for the steps to take to reach the different SLSA levels.

^SLSA

#SLSA

Als Antwort auf rugk

rugk

Als Antwort auf rugk • 1 Jahr her • •

Now, you say, you have to trust GitHub? Sure, you do, to achieve this. But threat models: What is more likely compromised: a maintainer/account in your project, or the whole GitHub build infra?

Personally, I was also not quite convinced, given you loose "control" over your build and GitHub could theoretically now inject #malware.

However, as the project itself states, this is not a big deal, if you combine it with the older security feature aka #reproduciblebuilds.

slsa.dev/spec/v1.0/faq#q-what-…

Frequently asked questions

Answers to questions frequently asked about SLSA.

^SLSA

#malware #reproducibleBuilds

Dieser Beitrag wurde bearbeitet. (1 Jahr her)

Als Antwort auf rugk

rugk

Als Antwort auf rugk • 1 Jahr her • •

To explain, we have #SLSA signatures that verify the build was done automatically by #GitHub as instructed, *and* we have traditional #gpg signatures with private keys only known to maintainer(s) that verify a maintainer actually triggered the built and locally reproduced it…
Given they both validate, you automatically achieve reproducible builds _and_ #SLSA validity.

One caveat: This was only easy, because our build process is essentially one command (git archive).

github.com/PrivateBin/PrivateB…

PrivateBin/doc/Release.md at master · PrivateBin/PrivateBin

A minimalist, open source online pastebin where the server has zero knowledge of pasted data. Data is encrypted/decrypted in the browser using 256 bits AES. - PrivateBin/PrivateBin

^GitHub

#gpg #GitHub #SLSA

Als Antwort auf rugk

⛈️ rain

Als Antwort auf rugk • 1 Jahr her • •

Wow, je mehr ich über die ganze #xz Saga lese, desto beeindruckter bin ich, was für ein unglaublicher Zufall es war, dass das so schnell gefunden wurde 😳

boehs.org/node/everything-i-kn… ist ein lesenswerter Überblick.

bugs.debian.org/cgi-bin/bugrep… gibt einen guten Eindruck, wie vor 5-6 Tagen angefangen wurde, Druck aufzubauen, die kompromittierte Version in Debian hochzuladen. Und wie viel Energie da rein gesteckt wurde.

#infosec #security

Everything I know about the XZ backdoor

Please note: This is being updated in real time. The intent is to make sense of lots of simultaneous discoveries

^boehs.org

#security #infosec #xz

Als Antwort auf rugk

Martin Giger

Als Antwort auf rugk • 1 Jahr her • •

I couldn't immediately tell, but is sigstore (sigstore.dev/) a part of that approach, or is it a different project doing something similar (but only a part of the what'd be required)?

sigstore

![sigstore logo][logo]

^sigstore

Dieser Beitrag wurde bearbeitet. (1 Jahr her)

elrido

1 Jahr her •

(Schweiz)

elrido
1 Jahr her — (Schweiz) •

Gerade @Malte 's exzellente Einführung in SSRF (server side request forgery) genossen am #Winterkongress und fleissig Notizen gemacht. Habe da noch ein paar Punkte am PrivateBin directory nachzubessern. Gopher-URLs via (lib)curl zu nutzen um ganz andere Protokolle zu sprechen (das gezeigte Beispiel war SMTP) ist echt kreativ, aber wenigstens recht einfach zu unterbinden.

#winterkongress @Malte

elrido

1 Jahr her •

(Schweiz)

elrido
1 Jahr her — (Schweiz) •

Experimentieren mit den Wertmodellen der KI: biastest.ch/ #Winterkongress

Biastest

Eine Bias-Testing-Station der Turingagency

^{www.biastest.ch}

#winterkongress

teilten dies erneut

elrido

1 Jahr her •

(Schweiz)

elrido
1 Jahr her — (Schweiz) •

A classic bug for a leap day: At work, colleagues discovered and fixed a bug in a lesser used tool that only occurs on February 29th. It did trip up the tests, so no one got to merge until it got identified and resolved.

The source file in question hadn't been touched in over 4 years. Last leap year, the 29th was on a Saturday, so likely no one noticed.

What was annoying is that the logic had been clearly written with the intent of handling leap years. A leap year check condition was present, validated only on a February > 28th, but had to get inverted.

You may wonder why we wouldn't have used the languages' standard library date functions to validate the date - unfortunately the language in question doesn't have such a sophisticated standard library (language omitted to protect the innocent).

elrido hat dies geteilt

Shawn Hooper (he/him)

1 Jahr her • •

Shawn Hooper (he/him)
1 Jahr her • •

Niklaus Wirth, the inventor of the Pascal programming language, author of "Algorithms + Data Structures = Programs", and more, passed away on January 1.

Wirth's law, named after him, is an adage which states that software gets slower more rapidly than hardware gets faster.

#programming #computerscience

Dieser Beitrag wurde bearbeitet. (1 Jahr her)

teilten dies erneut

elrido

1 Jahr her •

(Schweiz)

elrido
1 Jahr her — (Schweiz) •

Best #37C3 quote so far:

[...] to observe the international compressor holiday [...]

Context: Newag's train "DRM"

#37c3

elrido

1 Jahr her •

(Schweiz)

elrido
1 Jahr her — (Schweiz) •

Calling FOSS developers and maintainers:

The Tufts Security and Privacy Lab, Leibniz
University Hannover, and CISPA Helmholtz-Center for
Information Security are conducting interviews as part
of a study on security for open-source software. Our study focuses on the
processes OSS developers use to investigate what security threats exist,
what to do about these threats, and how these threats/mitigations are
communicated to users and other developers.
Through these interviews, we aim to make security easier and more efficient
for OSS projects. Anyone over the age of 18 who regularly contributes to at
least one OSS project, and has contributed to an OSS project for at least
one year, is eligible --- no security background or experience required.
Interview participants will receive a $40.00 Amazon or Tango gift card for
completing one 60-75 minute interview via Zoom. We will pr

#37c3

elrido

1 Jahr her •

(Schweiz)

elrido
1 Jahr her — (Schweiz) •

Congratulations to Sergio Benitez on releasing rocket.rs 0.5.0! Thank you for this great framework. 👏

I got to follow rocket's journey to async and stable #rust with the PrivateBin directory service. Coming from Python flask apps, it is really easy to pick up and get going with your webservice, offering static & templated content, easy to create web forms and JSON APIs.

Thanks to rust's strict type system I could focus on the logic and didn't have to waste time double checking and casting data received by clients. If my API accepts an integer in a certain parameter, Rocket will ensure I only receive valid requests in my logic.

#rust

teilten dies erneut

elrido hat dies geteilt

Sean McArthur

1 Jahr her • •

Sean McArthur
1 Jahr her • •

I'm so so excited to announce #rust hyper v1.0 🚀

seanmonstar.com/blog/hyper-v1/

hyper v1

I’m excited to announce v1.0 of hyper, a protective and efficient HTTP library written in the Rust programming language. hyper provides asynchronous HTTP/1 a...

^seanmonstar

#rust

teilten dies erneut

elrido

1 Jahr her •

(Schweiz)

elrido
1 Jahr her — (Schweiz) •

Holiday in Peru

elrido

2 Jahre her •

(Schweiz)

elrido
2 Jahre her — (Schweiz) •

I like CSS-animations, clocks and dials for making metrics easier to digest (we are quicker at detecting angular changes than reading and parsing digits). So I'm in awe with this creative use of a watch-dial to visualize a 32-bit hexadecimal number:

retr0.id/stuff/2038/

s32 unix clock

^retr0.id

elrido

2 Jahre her •

(Schweiz)

elrido
2 Jahre her — (Schweiz) •

#PrivateBin v1.6.0 released - adding translations for Japanese & Arabic, configuration option to disable email button and increases the minimal required PHP version to 7.3.

#privatebin

elrido

2 Jahre her •

(Schweiz)

elrido
2 Jahre her — (Schweiz) •

The letters below were discovered in September 1993 in a reverse time-capsule apparently sent from 2023.

The first of those emails dates from this morning. Note the author of the RFC and the publication date.

RFC 1607

elrido

2 Jahre her •

(Schweiz)

elrido
2 Jahre her — (Schweiz) •

#PrivateBin 1.5.2 released - S3 storage improvements & library updates

We are still looking for additional long term maintainers. What can we offer you in return for your help?

We can offer you our mentorship, if this is your first time participating as a maintainer of an open source software project. We can guide you through submitting your first pull requests and work with you to ensure your change fulfills the communities quality standards, gets merged and makes it into a release.
Your work gets publicly credited. This can help you build up a resume, showing off your growing skill set, in programming as well as your soft skills.
PrivateBin is a smaller project. If you'd like to learn how to participate and contribute in an open source git project, this should be less overwhelming then larger projects.
We do

#privatebin

elrido

2 Jahre her •

(Schweiz)

elrido
2 Jahre her — (Schweiz) •

At work we use more and more YAML documents (with all it's benefits and issues) so I've long started using a handy python alias to convert them into JSON to query them using jq:

alias yaml2json='python3 -c '\''import sys, yaml, json; y=yaml.safe_load(sys.stdin.read()); print(json.dumps(y))'\'''

Because we also started using it in the test harness to validate YAML documents, we made it available to that environment as well. Test creates some YAML report, which is piped into yaml2json, which is piped into jq --exit-status '[...tests here...]'.

Fast forward a few months, more tests got added, and eventually I notice that one of these, on a 30k line document, spends about 15 seconds just converting it. Hm.

Now, it's not like there are not already tons of C, C++, Go, Rust, etc. versions of that tool around, I'm aware of many of those, unfortunately none are p

At work we use more and more YAML documents (with all it's benefits and issues) so I've long started using a handy python alias to convert them into JSON to query them using jq:

alias yaml2json='python3 -c '\''import sys, yaml, json; y=yaml.safe_load(sys.stdin.read()); print(json.dumps(y))'\'''

Fast forward a few months, more tests got added, and eventually I notice that one of these, on a 30k line document, spends about 15 seconds just converting it. Hm.

Now, it's not like there are not already tons of C, C++, Go, Rust, etc. versions of that tool around, I'm aware of many of those, unfortunately none are prepackaged for the distro used around here. Still, it nags me. I know that in Rust we have all these convenient Serde libraries. Would be trivial to write it using these. People have done so. Hm. And we could make a little wrapper around jq, like yq (python), which makes it easier to use. And we could also support other formats, like XML or CSV, like yq (Go) - the latter also replicates jq itself, that seems a step too far and risks running into incompatibilities, jq itself does the job alright.

So, eventually I did put these puzzle pieces together and we have yet-another-format-to-JSON-converter: github.com/simonrupf/convert2j…

Unique selling points? Well I've experimented a bit with github actions and it is indeed not to difficult to automate the release and publication of statically linked RPMs (for use on different RPM-based distros) and dynamically linked binaries for Ubuntu, MacOS (universal binaries for x86_64 & aarch64) and even Windows (untested - I have no access to that OS, nor do I want to). I'll try to keep it light weight and have some automation set up to keep it updated when dependencies change.

And yes, that 30k YAML file now parses in 0.2s instead of 13s. OCD satisfied.

GitHub - Nessex/yaml2json-rs: Command line utility (+libraries) to convert YAML to JSON.

Command line utility (+libraries) to convert YAML to JSON. - GitHub - Nessex/yaml2json-rs: Command line utility (+libraries) to convert YAML to JSON.

^GitHub

elrido

2 Jahre her •

(Schweiz)

elrido
2 Jahre her — (Schweiz) •

For over 15 years, most PHP setups I maintained were based on a stack of nginx webserver and PHP-fpm. So, unsurprisingly, the container images I maintain for PrivateBin also use this setup. A while ago, I stumbled on the nginx unit project, which describes itself as:

Unit is a lightweight and versatile application runtime [and] was created by nginx team members from scratch [...].

There is a package for it and it's PHP 8.1 module in the stable Alpine Linux repositories (and soon also for PHP 8.2, when Alpine 3.18 releases). It's installed size is about half of the regular nginx package and because it is a single service one no longer needs a service manager in the container, to keep the two services alive.

Unit is a lightweight and versatile application runtime [and] was created by nginx team members from scratch [...].

Two weeks ago I started toying with it and last weekend I finalized the work. It lets you configure all deviations from the default php.ini via it's own service configuration file, so I now got all the configurations in a single file. It took a bit of work to replicate most former settings over to it. Nginx unit doesn't (yet) allow to set custom HTTP headers, which we use to improve security on the static resources and to prevent cloudflare users getting errors (cloudflare will by default try to optimize all Javascript files for performance, but that breaks the SRI-hashes of our application, so the app doesn't load). It also doesn't allow configuring inline gzip compression of text-based resources.

For now I've documented these limitations in the forked repository and have started testing it first on a personal PrivateBin instance and since that worked well, now switched the main demo instance over to it. The HTTP port and all volumes still attach at the same places, the same UID & GID are used and both logs and included maintenance scripts work the same as before, so it is as close to a drop-in replacement as possible.

So far I've observed slightly higher RAM usage (223 MiB vs 190 MiB used, for a VM that also runs the nginx webserver, for TLS termination, serves the static project webpage and runs the PrivateBin directory application server, all in docker containers) and no observable difference in load (still idles at less than 1%). The images are all about 1 MiB less in compressed size (as displayed on the docker hub in the tags).

I'll probably start migrating my other PHP-fpm containers over to unit, but I'll probably wait for that Alpine 3.18 release, so I can switch to PHP 8.2 at the same time. It's a much simpler stack to maintain.

elrido

2 Jahre her •

(Schweiz)

elrido
2 Jahre her — (Schweiz) •

Schade das zu erfahren und vielen Dank an Herrn Dornier für die jahrzehnte-lange gute Betreuung und die ausgezeichneten Produkte!

Habe beruflich und privat seit Ende der 2000er Jahre immer wieder auf PC Engines für m0n0wall- und später OPNsense-basierte Router gesetzt. Diese Nachricht wurde über eine apu4d4 ins Internet geschickt und von einem Server hinter einer apu2e4 gehostet.

PC Engines apu platform EOL

^{www.pcengines.ch}

elrido

2 Jahre her •

(Schweiz)

elrido
2 Jahre her — (Schweiz) •

#TIL:

prompt injection, which is a form of cyberattack that exploits [an AI's] natural language processing abilities.

Bing: “I will not harm you unless you harm me first”

Last week, Microsoft announced the new AI-powered Bing: a search interface that incorporates a language model powered chatbot that can run searches for you and summarize the results, plus do …

^{simonwillison.net}

#TIL

elrido hat dies geteilt

GNU/Linux.ch

2 Jahre her • •

GNU/Linux.ch
2 Jahre her • •

Winterkongress der Digitalen Gesellschaft

Während zwei Tagen werden Themen rund um Informationstechnologie, Digitalisierung und deren Auswirkungen auf unsere Gesellschaft in verschiedenen Vorträgen und Workshops behandelt.

#Digitale_Gesellschaft #Winterkongress #Zürich #Linux

gnulinux.ch/winterkongress-202…

Winterkongress der Digitalen Gesellschaft

^GNU/Linux.ch

#linux #winterkongress #zürich #digitale_gesellschaft

elrido hat dies geteilt.

elrido

2 Jahre her •

(Schweiz)

elrido
2 Jahre her — (Schweiz) •

PrivateBin 1.5.1 released - Filesystem purge lookup change & administration script

Release v1.5.1 - Filesystem purge lookup change & administration script - PrivateBin

This release reverts a filesystem purge lookup change and adds a script for administrative tasks.

^{privatebin.info}

⇧

Aral Balkan 4 Tage her (Empfangen 3 Tage her) • •

zeitverschreib [friendica] 2 Wochen her von Phanpy for YNH • •

Wolfgang Stief 2 Wochen her • •

Marcel Waldvogel 2 Monate her • •

CoSin 3 Monate her • •

elrido 3 Monate her — (Schweiz) •

GNU/Linux.ch 6 Monate her • •

elrido 7 Monate her — (Schweiz) •

Sequoia PGP 7 Monate her • •

elrido 9 Monate her — (Schweiz) •

CoSin 1 Jahr her • •

Hernâni Marques 1 Jahr her • •

Dgar 1 Jahr her • •

elrido 1 Jahr her von Tusky •

elrido 1 Jahr her — (Schweiz) •

elrido 1 Jahr her — (Schweiz) •

Aral Balkan
4 Tage her (Empfangen 3 Tage her) • •

zeitverschreib [friendica]
2 Wochen her von Phanpy for YNH • •

Wolfgang Stief
2 Wochen her • •

Marcel Waldvogel
2 Monate her • •

CoSin
3 Monate her • •

elrido
3 Monate her — (Schweiz) •

GNU/Linux.ch
6 Monate her • •

elrido
7 Monate her — (Schweiz) •

Sequoia PGP
7 Monate her • •

elrido
9 Monate her — (Schweiz) •

CoSin
1 Jahr her • •

Hernâni Marques
1 Jahr her • •

Dgar
1 Jahr her • •

elrido
1 Jahr her von Tusky •

elrido
1 Jahr her — (Schweiz) •

elrido
1 Jahr her — (Schweiz) •