Links from 2014-04-27

And yeah, what have you or your generation got to do with cyberpunk ?

cyberpunk may have been dead since 1990 or whatever, but ~my generation~ are a gazillion times more cyberpunk than any old-school Neuromancer fanboy could ever have dreamed. we live in a Google and Facebook-owned dystopian hellscape of police spy drones and PRISM, and have the ability to use Bitcoin to buy everything from hamburgers to hard drugs. a 13-year-old girl Snapchatting youtube clips of One Direction to her friends is probably more cyberpunk than the “real” cyberpunks of yesteryear.

How America’s Leading Science Fiction Authors Are Shaping Your Future | Arts & Culture | Smithsonian

“Science fiction represents how people in the present feel about the future,” Robinson says. “That’s why ‘big ideas’ were prevalent in the 1930s, ’40s and partly in the ’50s. People felt the future would be better, one way or another. Now it doesn’t feel that way. Rich people take nine-tenths of everything and force the rest of us to fight over the remaining tenth, and if we object to that, we are told we are espousing class warfare and are crushed. They toy with us for their entertainment, and they live in ridiculous luxury while we starve and fight each other. This is what The Hunger Games embodies in a narrative, and so the response to it has been tremendous, as it should be.”

IFTF: Inventing a New Internet

For a brief historical moment, humanity has flown high like Icarus, on a vulnerable first-generation Internet platform for securing and using distributed ideas, arts, media, science, commerce, and machines—promising brilliant futures such as a network of things, autonomous personalized services, and immersive media. But now our first-generation Internet, built on a fragile global network of vulnerable codes, is failing, like the wings of Icarus, from too close an encounter with a triple shock: A massive dotcom data stalker economy built on mining of terabytes personal data Ubiquitous criminal penetration of financial and identity networks, both on our devices and in the cloud Pervasive state intruders at all levels and at every encrypted hardware and software node

David Byrne - Breaking Up With the Internet

To be honest, I have a hard time imagining Internet 2.0. I’m old enough to remember the utopian enthusiasm that greeted the Internet when it emerged 20 years ago. We can’t go back—we know too much now—but maybe we can learn from what we loved about the Internet back then. Namely, its egalitarian nature—that homemade and small-scale sites were just as accessible as the emerging e-commerce platforms. It was a pleasant, chaotic jumble. Can we revive the feeling of a souk and lose the big-box store feel?

Tagged as: , | Author:
[Montag, 20140428, 04:00 | permanent link | 0 Kommentar(e)


Wordpress unsicher betreiben

Der hochgeschätze Ritchie „datenschmutz” Pettauer hat geblogged. Ok, das ist jetzt nichts all zu Besonderes, das macht er öfter. Aber diesmal hat er das zum Thema „WordPress Sicherheit: Ausreichend Schutz vor Hackern” getan.

Und das war nicht mal so schlecht, was er da zusammengeschrieben hat. Erfrischend kompetent und praxisbezogen. Aber einige Punkte muss ich dennoch bemängeln. ;)

1) (s)ftp

Das „s” von sftp ist im Jahre 2014 nicht mehr optional. Die erste Spezifikation des File Transfer Protocols (ftp) stammt vom 16. April 1971. Sicherheit war damals (noch) kein Thema.
Heutzutage sollte man – vor allem, wenn man auch mal vom McDonalds, Kaffeehaus, … auf sein Wordpress zugreift – IMMER die secure Variante, also mit „s” verwenden [Korr. 2014-04-26] das auf ssh basierende sftp Protokoll verwenden. Oder zumindest FTPS, aber besser wäre sftp. IMMER.

2) Admin- und Autor-Nutzer

Ritchie schreibt hierzu Besonders Vorsichtige empfehlen, Autor– und Admin-Nutzer zu trennen, aber die dauerende Umloggerei wär mir persönlich zu umständlich..
Ja, das ist ein wenig lästig, ist aber „best practice”. Unter UNIXen sowieso Standard und üblich, hat sich das mit Windows 7 und später auch endlich zum Standard unter Windows entwickelt. Und soweit ich weiß, ist es auch unter Mac OS X üblich, dem Arbeitsuser keine Admin-Rechte zu geben.
Sinn und Zweck der Übung ist natürlich wieder die Schadensbegrenzung für den Fall, dass ein Angreifer das Passwort abfängt (siehe auch den nächsten Punkt). Damit kann er dann zwar die Inhalte ändern, aber die WP Installation per se ist damit noch nicht kompromitiert.

3) Zusätzliches Schloss für den Admin Bereich

Bis zu diesem Kapitel fand ich Ritchies Artikel ja erfrischend gut und passend. Und der Titel klang auch so vielversprechend. Aber leider …
Der gute Datenschmutz empfiehlt, den Admin-Bereich durch ein zusätzliches Passwort, das nicht durch PHP/Wordpress, sondern schon auf der Ebene des Webservers abgefragt wird, „abzusichern”. Dass er damit das Problem nur auf eine Ebene tiefer verlegt, nämlich zu Apache/nginx und Co., hat er hier vergessen/ignoriert. Die von Ihm so verschmähten „Limit Login Attempts” Plugins braucht man trotzdem, aber halt nicht auf PHP/WP Basis, sondern als Apache Modul bzw. Servertask.

Und das prinzipielle Problem, das man mit dem Wordpress-Adminbereich hat, löst diese Vorgehensweise auch nicht. Wenn man sein WP nämlich aus dem Kaffehaus, etc. administriert kann JEDER, der das WLAN mitbenutzt, auch das WP-Adminpasswort mitlesen. Und zwar mit trivialem Aufwand. Und da ist es vollkommen egal, ob man nun ein oder zwei Passwörter eingeben muss und ob WP oder der Apache dieses verifiziert.
[Anm. 2014-04-26]: VPN-Lösungen, wie sie Ritchi im Kommentar erwähnt, helfen hier auch nur bedingt. Damit ist die zumindest die Verbindung Laptop zu VPN-Endpunkt geschützt und die im Starbucks abhängenden Eves können nicht mehr mithören. Über die Strecke VPN-Endpunkt zu WP-Server laufen die Daten dann wieder unverschlüsselt. VPN UND SSL/TLS wäre die optimale Kombination. ;)

Ich hab das schon einmal demonstriert, als Georg Holzer seinen Wordpress-Artikel für den Futurezone geschrieben hat. Wer möchte, kann sich das Video ansehen, das zeigt, wie einfach man das Passwort abfangen kann (das gilt auch für das „htaccess-Passwort”).

Eine Anleitung, wie man zumindest einmal den Wordpress Admin Bereich mit SSL absichert, gibt Robert Abela in seinem recht detaillierten Blogeintrag.
Wer die Sicherheit im Internet und WWW prinzipiell voran bringen will, bietet sein komplettes Blog auch über SSL/TLS an. ;) [Korr. 2014-04-26] Außerdem kann eine Angreiferin dann das Admin-Cookie auch nicht über die unverschlüsselte http-Verbindung klauen, wie Pepi korrekt anmerkt.

 

Und jetzt hoffe ich, dass der Ritchie trotz dieses Blogeintrags noch mit mit spricht. ;)

Tagged as: , , , | Author:
[Donnerstag, 20140424, 22:00 | permanent link | 2 Kommentar(e)


Links from 2014-04-21

Pixars Andrew Stanton in an episode of NPR’s TED Radio Hour exploring what makes a great story.

The audience actually wants to work for their meal. They just don’t want to know that they’re doing that. That’s your job as a storyteller is to hide the fact that you’re making them work for their meal. We’re born problem solvers. We’re compelled to deduce and to deduct because that’s what we do in real life. It’s this well-organized absence of information that draws us in.

Tagged as: , | Author:
[Dienstag, 20140422, 04:00 | permanent link | 0 Kommentar(e)


Links from 2014-04-20

Sony Walkman TPS-L2 — Minimally Minimal

The Sony Walkman TPS-L2 introduced in 1979 is one of those legends. It’s the first Walkman ever made and the first product I’m showcasing that’s older than myself. This was the first time music became truly portable making it historically more significant than even the iPod. The TPS-L2 has become a collector’s favorite so expect to pay a premium for one in good condition. I was lucky and purchased this from a university museum for a reasonable price.

Out in the Open: Inside the Operating System Edward Snowden Used to Evade the NSA | Enterprise | WIRED

At its heart, Tails is a version of the Linux operating system optimized for anonymity. It comes with several privacy and encryption tools, most notably Tor, an application that anonymizes a user’s internet traffic by routing it through a network of computers run by volunteers around the world.

Testing for „reverse” Heartbleed

Most of the attention around the Heartbleed attack has focused on the simplest and most obvious scenario: a malicious client attacking an HTTPS server to steal cookies, private keys, and other secrets. But this isn’t the only attack possible: a malicious server can also send bad heartbeat packets to a client that uses OpenSSL and extract data from that client. The TLS heartbeats used in this attack are symmetric: they can be initiated by either the „client” or the „server” in a TLS connection, and both endpoints use the same vulnerable parsing code.

Tagged as: , | Author:
[Montag, 20140421, 04:00 | permanent link | 0 Kommentar(e)


Disclaimer

„Leyrers Online Pamphlet“ ist die persönliche Website von mir, Martin Leyrer. Die hier veröffentlichten Beiträge spiegeln meine Ideen, Interessen, meinen Humor und fallweise auch mein Leben wider.
The postings on this site are my own and do not represent the positions, strategies or opinions of any former, current or future employer of mine.

Me, Elsewhere

Tag Cloud

2007, 2blog, 2do, 2read, a-trust, a.trust, a1, accessability, acta, advent, age, ai, amazon, ankündigung, apache, apple, audio, austria, backup, barcamp, basteln, bba, big brother awards, birthday, blog, blogging, book, books, browser, Browser_-_Firefox, bruce sterling, buch, bürgerkarte, cars, cartoon, ccc, cfp, christmas, cloud, coding, collection, command line, commandline, computer, computing, concert, conference, copyright, covid19, css, database, date, datenschutz, debian, delicious, demokratie, design, desktop, deutsch, deutschland, dev, developer, development, devops, digitalks, dilbert, disobay, dna, dns, Doctor Who, documentation, Domino, domino, Douglas Adams, download, downloads, drm, dsk, dvd, e-card, e-government, e-mail, e-voting, E71, education, Ein_Tag_im_Leben, elga, email, encryption, essen, EU, eu, event, events, exchange, Extensions, fail, fedora, feedback, film, firefox, flash, flightexpress, food, foto, fsfe, fun, future, games, gaming, geek, geld, git, gleichberechtigung, google, graz, grüne, grüninnen, hack, hacker, handtuch, handy, hardware, HHGTTG, history, how-to, howto, hp, html, humor, IBM, ibm, ical, iCalendar, image, innovation, intel, internet, internet explorer, iot, iphone, ipod, isp, it, IT, itfails, itfailsAT, itfailsDE, java, javascript, job, jobmarket, journalismus, keyboard, knowledge, konzert, language, laptop, law, lego, lenovo, life, links, linux, Linux, linuxwochen, linuxwochenende, live, living, living, lol, london, lost+found, lotus, Lotus, lotus notes, Lotus Notes, lotusnotes, LotusNotes, lotusphere, Lotusphere, Lotusphere2006, lotusphere2007, lotusphere2008, Lotusphere2008, lustig, m3_bei_der_Arbeit, m3_bei_der_Arbeit, mac, mail, marketing, mathematik, media, medien, metalab, microsoft, Microsoft, mITtendrin, mITtendrin, mobile, mood, motivation, movie, mp3, multimedia, music, musik, männer, nasa, nerd, netwatcher, network, netzpolitik, news, nokia, Notes, notes, Notes+Domino, office, online, OOXML, open source, openoffice, opensource, orf, orlando, os, outlook, patents, pc, pdf, performance, perl, personal, php, picture, pictures, podcast, politics, politik, pr, press, press, presse, privacy, privatsphäre, productivity, programming, protest, public speaking, qtalk, quintessenz, quote, quotes, radio, rant, rant, recherche, recht, release, review, rezension, rezension, rip, rss, science, search, security, server, settings, sf, shaarli, Show-n-tell thursday, sicherheit, silverlight, smtp, SnTT, social media, software, sony, sound, space, spam, sprache, sprache, spö, ssh, ssl, standards, storage, story, stupid, summerspecial, summerspecial, sun, surveillance, sysadmin, talk, talk, talks, technology, The Hitchhikers Guide to the Galaxy, theme, think, thinkpad, thunderbird, tip, tipp, tools, topgear, torrent, towel, Towel Day, TowelDay, travel, truth, tv, twitter, ubuntu, ui, uk, unix, update, usa, usb, vds, video, video, videoüberwachung, vienna, Vim, vim, vintage, vista, vorratsdatenspeicherung, vortrag, wahl, wcm, wcm, web, web 2.0, web2.0, web20, Web20, webdesign, werbung, wien, wiener linien, wikileaks, windows, windows, windows 7, wired, wishlist, wissen, Wissen_ist_Macht, wlan, work, workshops, wow, writing, wtf, wunschzettel, Wunschzettel, www, xbox, xml, xp, zensur, zukunft, zukunft, zune, österreich, österreich, övp, übersetzung, überwachung

AFK Readinglist