As discussed, getting a SANE date format within Mozilla Thunderbird is not easy. And Thunderbird 60 broke the current workarounds by ignoring the long standing en_DK workaround.

Fortunately, some inquisitive minds in the Bugzilla thread found a new workaround. Instead of „en_DK.UTF8” use „lt_LT.UTF-8” for the LC_TIME locale value.

With

sudo locale-gen lt_LT.UTF-8

from the command line and

Exec=env LC_TIME=lt_LT.UTF-8 thunderbird %u

in /usr/share/applications/thunderbird.desktop the date display will go from the b0rken

to the (again) way saner ISO 8601 format:

And according to the Bugzilla bugreport, there will be a setting within Thunderbird to set the date format from within the MUA. \o/.

Tagged as: date, it, linux, locale, mail, mint , mozilla, rant, thunderbird | Author: Martin Leyrer
[Sonntag, 20190210, 14:30 | permanent link | 0 Kommentar(e)

Nachdem der neue Lobby-„gemeinnützige”-Verein „Fit4Internet” (mehr dazu demnächst) ja quasi (zumindest personell) eine Sub-Entität des altbekannten Lobby-Vereins „Internetoffensive Österreich” ist, hab ich mir gedacht, ich schau bei denen mal wieder vorbei.

„Ei der Daus!”, wieso seh ich in meinem Firefox nix, war meine erste Reaktion..

Chromium hat auch nix angezeigt.

Ein Rückschritt auf eine virtuelle Maschine mit einem Internet Explorer (nutzen Sie ihn, solange es ihn noch gibt) hat mir da die zuletzt im Oktober 2018 aktualisierte Propaganda-Seite des IOÖ angezeigt (mensch beachte das schöne A minus Trust Zitat).

Ein Blick mit Hilfe von ein paar „Hackertools” (ja, das ginge „eleganter”; Shell-Golf Vorschläge bitte auf Mastodon) offenbart dann das eigentliche Problem:

$ curl --insecure -v https://www.internetoffensive.at 2>&1 | awk 'BEGIN { cert=0 } /^\* SSL connection/ { cert=1 } /^\*/ { if (cert) print }' | grep "issuer:"
*  issuer: C=US; O=thawte, Inc.; CN=thawte SHA256 SSL CA

Die Internetoffensive Österreich verwendet ein Zertifikat, dem die gängigsten Webbrowser nicht mehr vertrauen. Und in diesem Fall ist der Aussteller überraschenderweise NICHT die A minus Trust, sondern Symantec.

Wenn sich die IOÖ als „Interessenvertretung aller Stakeholder im Bereich der Informations- und Kommunikationstechnologien (IKT)” versteht und im „Kompetenzzentrum Internetgesellschaft (KIG)” (sic!) den Status eines beratenden Organ hat, fragt man sich schon, wieso sie es nicht schaffen, sich ein „ordentliches” TLS Zertifikat zu besorgen. Google, Mozilla, Microsoft und Apple warnen spätenstens seit Sommer 2018, dass sie den Zertifikaten von Symantec nicht mehr vertrauen.
Aber vermutlich sind die „hohen Kosten” von Let’s Encrypt so abschreckend. Oder sie warten noch darauf, dass die A minus Trust ihr aktuelles Root-Zertifikat wieder in die Browser bekommt.

Und nicht vergessen, in der IOÖ finden sich jene jene Unternehmen wieder, die seit 2008 die jeweiligen Bundesregierungen in Internet-Dingen beraten. Selbige Unternehmen und handelnde Personen aus deren Umfeld finden sich auch im neuen Lobby-Verein „Fit4Internet” wieder und mensch kann davon ausgehen, dass diese Personen auch die Ende Februar ihr Programm vorstellende Digitalisierungsagentur (DIA) „beraten” werden. Also jene Offliner, die uns seit über 10 Jahren das Internet erklären wollen, von allen Entwicklungen überrollt/überrascht wurden (*hust* DSGVO *hust*), den „Computerführerschein” ECDL zur Microsoft-Produktschulung umfunktioniert haben und als einzige Leistung vorweisen können, den FTTH-Ausbau in Österreich nachhaltig verhindert zu haben.

Vielleicht sollte die Internetoffensive Österreich ihre Homepage einfach offline nehmen und ihre Lobby-Texte wieder per USB-Stick verteilen …

Tagged as: a-trust, atrust, internet, interntoffensive, iooe, ioö, lobby, rant, usb-stick, östereich | Author: Martin Leyrer
[Montag, 20190204, 21:37 | permanent link | 0 Kommentar(e)

NNN / Your next doctor might just be a robot

Conventional wisdom says that you can’t replace the human touch in terms of medical care, but in our rapidly changing technological environment, it appears that this perception might be changing. Meet the robotics innovations around the world that are shaping tomorrow’s hospitals.

How to continue using Shutter in Ubuntu, Linux Mint or Debian

The popular screenshot tool, which uses Gtk2 and Perl, was one of the very few packages that blocked Debian (and Ubuntu) from removing the obsolete libgnome2-perl and libgnome2-vfs-perl from the repository archive. Since Shutter doesn’t work without these packages, it was removed from the Debian Unstable and Ubuntu 18.10 repositories.

Since I use Shutter daily, I created a PPA for it and its dependencies…
You can use this PPA not only in Ubuntu 18.10, but also in Ubuntu 18.04 / Linux Mint 19 or 19.x, …

I also added the gnome-web-photo package to the PPA. This package allows Shutter to take full website screenshots,…

Tagged as: collection, delicious, links, shaarli | Author: Martin Leyrer
[Sonntag, 20190203, 04:00 | permanent link | 0 Kommentar(e)

Nachdem die AK Salzburg ihre Wählerservice [sic! no gendering] ungesichert online gestellt hatte, fand ein junger Mensch ein It-Security Problem darin, wie die Salzburger Nachrichten vorbildlich und Die Presse sehr mangelhaft berichtet. Darauf hat die AK Salzburg eine „offizielle Stellungnahme” auf ihrer „Intenetseite” (O-Ton ORF) veröffentlicht (Screenshot).

Dazu nun von mir ein „There, I fixed it”, mit Korrekturen in Rot und Anmerkungen in Grau:

offizielle stellungnahme zum hackerangriff auf unser sicherheitsproblem unseres wählerservice [ja, im Original-HTML was das alles klein geschrieben]

Viele namhafte Unternehmen werden immer wieder mit Sicherheitslücken konfrontiert. Ob Weltkonzerne, Banken, Behörden und Regierungen, oder auch vor einigen Jahren ein bekanntes großes Salzburger Unternehmen. [Die Salzburg AG, Anm.]

Jetzt ist unser Wählerservice Ziel eines Hackers leider für eine vermeidbare Sicherheitslücke bekannt geworden. Es geht um Namen, Adressen und Sozialversicherungsnummern. Nach derzeitigem Informationsstand sind 11 Personen inklusive des jungen Mannes, der diese sogenannte Bruteforce-Attacke durchgeführt hat, betroffen. [Wenn der Junge Mann nach 10 Personen aufgehört hat, kann man nicht wirklich von einer Bruteforce-Attacke, also einem Angriff mit roher Gewalt/Rechenleistung sprechen. Schon gar nicht bei „nur” 450.000 Abfragen in vier Tagen. Und „Brut” statt „Brute” sagt auch schon viel über die Kompetenz aus …]

Die 10 Personen wurden bereits schriftlich von uns informiert, wie in Artikel 34 der DSGVO vorgeschrieben. [Diese Meldung wäre nach Artikel 24, Ziffer 3(a) nicht notwendig gewesen, wenn der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden. damit hat die AK Salzburg quasi bereits bestätigt, dass die Sicherheitsvorkehrungen nicht ausreichend waren.]

Wir haben sofort nach Kenntnis des Angriffs intern reagiert. Mit der Veröffentlichung dieser Handlung in den Sozialen Netzwerkenauf Reddit, hat dieser Vorfall ein Ausmaß angenommen, der uns veranlasst hat, eine Meldung bei der Datenschutzbehörde abzugeben, wie in Artikel 33 der DSGVO vorgeschrieben.
Besser wäre der komplette Absatz eigentlich so gewesen:
Wir haben, nachdem uns das Problem zur Kenntnis gelangte, unmittelbar reagiert indem wir den betroffenen Dienst offline genommen und unserer gesetzlich vorgeschriebenen Informationspflicht bezgl. Datenschutzbehörde und den betroffenen Personen nachgekommen sind. Darüber hinaus haben wir die weiter unten angeführten internen Maßnahmen gesetzt.

Zeitgleich wurde dieses Service komplett von der Website genommen. Weitere rechtliche Schritte behalten wir uns nach Prüfung des Sachverhaltes noch vor. Wir bedauern sehr, dass die initiale Kommunikation zwischen „manujell” und unserem Unternehmen nicht unmittelbar in die richtigen Kanäle und damit zur korrekten Behebung des Problems geführt hat. Um in Zukunft die Kontaktaufnahme durch die Security-Community einfacher zu machen und intern an die kompetenten Stellen zu leiten, werden wir umgehend security@ak-salzburg.at gemäß RFC 2142 auf unserem Mailserver (der derzeit von der A1/Telekom betrieben und mit einer Ikarus Lösung abgesichert wird) sowie /.well-known/security.txt gemäß RFC 5785 auf unserem Webserver einrichten.
Da bei dem Zugriff auf die personenbezogenen Daten leider keine spezifischen Sicherheitsvorkehrung zu überwinden waren, sehen wir von einer Anzeige gemäß §118a StGB selbstverständlich ab. Da das Schutzniveau für die betroffenen Daten nicht geeignet war, um Artikel 32 der DSGVO zu entsprechen, werden wir unsere EntwicklerInnen und SystemadministratrorIinnen und natürlich auch deren Teamleiter und Management entsprechend sensibilisieren und passende Fortbildungsangebote erstellen und durchführen. Insbesonders werden wir unser Augenmerk auf die folgenden Punkte legen:

• OWASP Top 10 -2017 „A5:2017 Fehler in der Zugriffskontrolle”, insbes. Änderbarkeit des Primärschlüssels zu dem eines anderen Benutzers, so dass das Konto dieses Benutzers angezeigt oder bearbeitet werden kann.
• OWASP Top 10 -2017 „AS10:2017 Unzureichendes Logging & Monitoring”
• Application Security Verification Standard 3.0.1: Verify that access to sensitive records is protected, such that only authorized objects or data is accessible to each user…

Etwaige durch die Datenschutzbehörde verhängte Geldbußen werden wir selbstverständlich umgehend begleichen.

Darüber hinaus werden wir für unsere (Krisen-)Kommunikationsabteilung Arbeitstreffen mit dem CCC ERFA Salzburg und „Jugend Hackt” organisieren, um der negativ konotierten Verwendung des Begriffs „Hacker” entgegen zu wirken.

Bei der direkten Abfragemöglichkeit der Wahlberechtigung zur AK-Wahl war der Servicegedanke für unsere Mitglieder im Vordergrund. Wie man sieht: Kein Unternehmen, keine Institution ist im Netz vor mutwilligen Angriffen Fehlern in der IT(-Security) gefeit.

So liest sich der Text doch gleich viel besser :D

Tagged as: | Author: Martin Leyrer
[Freitag, 20190201, 18:32 | permanent link | 0 Kommentar(e)