Hop til hovedindhold

2023-10-21

Krypteret trafikaflytning på Hetzner og Linode rettet mod Jabber-tjenesten

  • Jabber.ru, en XMPP-beskedtjeneste, blev offer for et man-in-the-middle-angreb, hvor angriberen opfangede krypteret trafik i op til 6 måneder hos hostingudbyderne Hetzner og Linode i Tyskland.
  • På trods af det langvarige angreb blev der ikke fundet tegn på serverbrud eller spoofing-angreb. Men falske TLS-certifikater blev udnyttet ved hjælp af Let's Encrypt til at kapre forbindelser.
  • Angrebet påvirkede primært forbindelser til XMPP-tjenestens STARTTLS-port 5222. Aflytningen blev mistænkt for at være sket enten lovligt eller som følge af en indtrængen i hostingudbydernes netværk.

Reaktioner

  • Tråden på Hacker News diskuterer aflytning af krypteret trafik på hostingtjenester rettet mod Jabber-meddelelsestjenesten og berører forskellige afbødningsstrategier som yderligere autentificering, overvågning af SSL/TLS-certifikater, RIPE Atlas-målinger og DLT-baserede systemer.
  • Diskussionen udforsker brugen af DANE til certifikatautentificering og begrænsningerne ved Certificate Authorities (CA'er). Andre emner omfatter potentielle sårbarheder i SSL-infrastrukturen, den mulige kompromittering af SSL-certifikatudstedelse og vigtigheden af DNSSEC, CAA-poster og krypteringsmetoder som PGP og OMEMO/OpenPGP.
  • Tråden debatterer behovet for flere certifikater til det samme domæne, pålideligheden af SSL-certifikater, potentiel lovlig aflytning og udfordringer med at garantere sikkerhed i hostingtjenester.

Tiårsdagen for redningen af Healthcare.gov

  • For et årti siden blev et erfarent team kaldet "tech surge" ledet af Todd Park dannet for at løse problemerne med det ikke-fungerende HealthCare.gov-websted.
  • Teamet, der bestod af personer fra og uden for regeringen, analyserede udfordringerne ved webstedet, herunder, men ikke begrænset til, kode, test, udgivelser og overvågning.
  • Efter intensive diskussioner og møder lykkedes det dem at installere et overvågningssystem, der afslørede kritiske problemer med ydeevnen, hvilket markerede begyndelsen på deres kontinuerlige indsats for at forbedre webstedet og gøre det muligt for millioner at tilmelde sig sundhedsdækning.

Reaktioner

  • Diskussionerne er centreret omkring sundhedsreformen i USA, herunder de problemer, der opstod under udviklingen af Healthcare.gov, den politiske indflydelse på Affordable Care Act (ACA) og kompetencen hos Medicaid.
  • Opmærksomheden rettes mod emner som korruption, kammerateri, fordeling af føderale midler, underbetaling af føderalt ansatte og virksomheders engagement i IT-projekter relateret til sundhedsvæsenet.
  • Samlet set understreger diskursen sundhedsreformens komplicerede udfordringer og behovet for forbedrede systemer og politisk indgriben.

Politiet sagsøger en teenager for krænkelse af privatlivets fred, efter at falske anholdelsesvideoer går viralt

Reaktioner

  • Teksten omfatter diskussioner om forskellige lovrelaterede emner, herunder politiets adfærd, privatlivets fred, ærekrænkelse og juridiske procedurer.
  • Nøglespørgsmål, der undersøges, omfatter effektiviteten af beskyttelsesordrer, retshåndhævelsens rolle, sociale mediers indflydelse på ansvarlighed, politibetjentes adfærd i mindre samfund, ærekrænkelseskrav og grænseagenters autoritet.
  • Denne brede vifte af emner lægger op til en dybtgående udforskning af retshåndhævelse og juridiske emner, der er relevante for det moderne samfund.

På jagt efter den mindst sete artikel på Wikipedia (2022)

  • Blogindlægget undersøger søgningen efter de mindst viste artikler på Wikipedia, hvor mange af dem handler om insekter og obskure geografiske steder.
  • Den dykker ned i samfundets politikker og praksisser vedrørende begrebet notabilitet, som har ført til fraværet af artikler om virksomheder eller bands på de nederste 500 mest viste sider.
  • Disse mindre viste artikler er vigtige, da de tilbyder et grundlag, som fremtidige redaktører kan forbedre og bygge videre på.

Reaktioner

  • Diskussionen fremhæver udfordringer, som Wikipedia-redaktører støder på, såsom at afgøre et emnes notabilitet, håndtere platformsbegrænsninger og håndtere sletninger.
  • Den sætter fokus på kønsbias og misogyni på platformen, bias i notabilitetskriterier og andre udfordringer i forbindelse med bidrag.
  • Det giver anledning til bekymring om Wikipedias indflydelse på søgeresultaterne, samt spørgsmål om nøjagtigheden og pålideligheden af information på platformen.

Nakatomi Space

  • Artiklen undersøger de unikke rumlige metoder, som karaktererne i Die Hard bruger til at navigere i arkitekturen, og drager paralleller til de israelske forsvarsstyrkers strategier under invasionen af Nablus.
  • Den introducerer begrebet "Nakatomi-rum", en skildring af ændret arkitektonisk navigation i film som Die Hard, og overvejer en bredere urban implementering.
  • Desuden udforsker den forskellige arkitektoniske begreber som at bevæge sig gennem vægge, flydende rum og krænkelse af det private rum, og overvejer magtdynamikken og implikationerne af disse i film og litteratur.

Reaktioner

  • Samtalen på bldgblog.com dækker en række emner som byplanlægningens indvirkning på kriminalitetsraten og det opfattede underskud af åbent gameplay i moderne videospil.
  • Diskussionen strækker sig også til James Bond-franchisens tilsyneladende tilbagegang og analyserer skildringen af romantik i film.
  • Deltagerne i diskussionen bidrager med forskellige synspunkter, anbefaler alternative spil og film og dykker ned i de mangefacetterede aspekter af de emner, der diskuteres.

EU-kommissær som dobbeltagent for udenlandsk indblanding

  • En nylig undersøgelse afslører, at organisationer med tilknytning til tech-industrien og sikkerhedstjenester finansierer en kampagne, der støtter EU's foreslåede "Chat Control"-forordning, som har til formål at bekæmpe seksuelt misbrug af børn.
  • Denne forordning kræver obligatorisk scanning og offentliggørelse af mistænkelige private beskeder og fotos fra tjenesteudbydere. Patrick Breyer, en lovgiver i EU-parlamentet, kritiserer EU-kommissær for indre anliggender Ylva Johanssons engagement.
  • Fortalere betragter kampagnen som et fremstød for vilkårlig screening af private beskeder og fotos, hvilket de ser som en trussel mod digitalt privatliv og kryptering. På nuværende tidspunkt findes der ikke en sådan lov i USA.

Reaktioner

  • Passagen fremhæver forskellige EU-relaterede emner, såsom beskyldninger om korruption og udenlandsk intervention, suverænitetsdebatter og kritik af EU-forordninger.
  • Det understreger bekymringen for EU's integritet og evne til at beskytte privatlivets fred, hvilket tyder på en vis skepsis over for EU's regler og forvaltning.
  • Teksten nævner også debatter om fordele og ulemper ved statslig indgriben og regulering i forbindelse med kapitalisme og kommunisme.

De kan og vil ødelægge alt, hvad du elsker

  • Musiksitet Bandcamp, der er kendt for sin støtte til uafhængige kunstnere, er blevet opkøbt af indholdslicens- og servicevirksomheden Songtradr.
  • Dette opkøb har udløst bekymring blandt kunstnere og fans, da der allerede er blevet annonceret fyringer, der berører Bandcamps redaktionelle personale og vinylteam.
  • Salget har ført til usikkerhed om Bandcamps fremtid og dets fortsatte forpligtelse til at støtte uafhængige kunstnere, hvilket har skabt frygt for, at sidens ry som en uafhængig musikplatform kan blive kompromitteret under det nye ejerskab.

Reaktioner

  • Diskussionen drejer sig om Bandcamps medarbejderes tab af arbejdspladser, Bandcamps betydning som musikplatform og bekymringerne omkring Epic Games' overtagelse af virksomheden.
  • Der er dybdegående diskussioner om ulemperne ved profitdrevne digitale spilbutikker, behovet for non-profit-enheder til at dyrke fællesskaber og forholdet mellem arbejdsgiver og arbejdstager.
  • Andre emner omfatter balancen mellem arbejds- og kapitalværdi, spørgsmål om bæredygtighed for webejendomme, bevaring af kulturelt indhold af organisationer som Internet Archive, retten til privatlivets fred og tilbagegangen for sociale medieplatforme som MySpace og Twitter.

Hackere stjal adgangstokens fra Oktas supportafdeling

  • Okta, en leverandør af identitetsværktøjer til virksomheder, har haft et sikkerhedsbrud i sin kundesupportenhed, som gav hackere adgang i cirka to uger, indtil det blev inddæmmet.
  • Bruddet gjorde det muligt for angriberne at se filer uploadet af visse kunder, hvilket potentielt kunne afsløre følsomme data som cookies og sessionstokens.
  • På trods af at hændelsen kun ramte et lille antal kunder, råder Okta alle kunder til at rense legitimationsoplysninger og tokens i filer, før de deles, og spekulerer i, at en velkendt trusselsaktør sandsynligvis gik efter dem.

Reaktioner

  • Okta, en centraliseret identitetsudbyder, havde et sikkerhedsbrud, hvor hackere stjal adgangstokens fra deres supportenhed, hvilket skete, efter at en medarbejder havde uploadet følsomme data til Oktas supportværktøj.
  • Denne hændelse udløste diskussioner om Oktas integritet og pålidelighed i håndteringen af vigtige IT-systemer, effektiviteten af deres sikkerhedsprotokoller og den fortsatte debat om kontrasten mellem lokale systemer og cloud-tjenester til autentificering.
  • Der er et stort behov for at implementere robuste sikkerhedsforanstaltninger, opretholde en proaktiv cybersikkerhedsovervågning og overveje alternative autentificeringsudbydere.

Fremskridt med No-GIL CPython

  • Pythons styringsråd overvejer at gøre den globale fortolkerlås (GIL), en mekanisme, der forhindrer flere indbyggede tråde i at udføre Python-bytekoder på én gang, valgfri i fremtidige udgaver af Python.
  • Der er diskussioner i gang om kompatibilitet med udvidelser, forslag til API-ændringer og potentielle navne til ikke-GIL-versionen, med "free-threading" og "nogil" som forslag. De overvejer også at introducere en ny Application Binary Interface (ABI) kaldet 'abi4'.
  • Den endelige godkendelse af Python Enhancement Proposal (PEP) relateret til disse ændringer afventes. Styregruppen er i gang med at definere deres acceptkriterier, mens de diskuterer den potentielle indvirkning på migration og opfattelse.

Reaktioner

  • Diskussionen handler om forskellige aspekter af parallel programmering i Python. Dette inkluderer behovet for mere eksplicit parallelisme i universiteternes læseplaner og den potentielle fjernelse af Global Interpreter Lock (GIL), en mekanisme, der forhindrer samtidig udførelse af Python bytecodes af flere tråde.
  • Deltagerne har forskellige meninger, nogle går ind for funktionel kode uden sideeffekter, mens andre foreslår alternative tilgange som sandboxede virtuelle maskiner (VM'er) og offloading af opgaver til biblioteker.
  • Der er bekymringer omkring Pythons single-threaded performance og overgangen fra Python 2 til 3, men de potentielle konsekvenser og fordele ved at fjerne GIL og forbedre parallelismen er også anerkendt.

Afhjælpning af Hetzner/Linode XMPP.ru MitM-aflytningshændelsen

  • Ejeren af jabber.ru og xmpp.ru rapporterede om et man-in-the-middle-angreb, der sandsynligvis stammer fra Tyskland, og som involverede automatisk opfangning af trafik og udstedelse af et uautoriseret certifikat.
  • Rapporten fremhæver fejl i TLS-infrastrukturen (Transport Layer Security) og foreslår forbedrede sikkerhedsforanstaltninger, såsom brug af ACME (Automatic Certificate Management Environment)-Certificate Authority Authorization (CAA) og DNSSEC (Domain Name System Security Extensions).
  • Artiklen fraråder, at man forlader sig på tredjepartsløsninger, er fortaler for end-to-end-kryptering og sætter spørgsmålstegn ved effektiviteten af "confidential computing"-teknologier, når det gælder om at levere solid sikkerhed.

Reaktioner

  • Et nyligt sikkerhedsbrud blev identificeret, der involverede opfangning af XMPP-trafik på Hetzner/Linode-netværket, specifikt rettet mod XMPP STARTTLS-porten.
  • Angrebet blev afbødet, men det afslørede sårbarheder og fremhævede sikkerhedsrisici i forbindelse med datacentre og potentielle kompromitteringer af forsyningskæden.
  • Diskussionerne handlede om brugernes bekymringer ved at bruge Cloudflare, med en udforskning af fordele og ulemper. XMPP står for Extensible Messaging and Presence Protocol, en kommunikationsprotokol, og STARTTLS er en måde at tage en ukrypteret forbindelse og opgradere den til en krypteret (TLS eller SSL) forbindelse.

["31M"? ANSI Terminal-sikkerhed i 2023 og fund af 10 CVE'er

  • Artiklen diskuterer sårbarheder og potentielle udnyttelseskæder i terminalemulatorer, med vægt på escape-sekvenser.
  • Den identificerer risici i populære terminalemulatorer og understreger vigtigheden af at implementere korrekt håndtering og afbødende foranstaltninger mod disse sårbarheder.
  • Undersøgelsen peger også på udviklingen af et testværktøj til terminaler og anerkender bidrag fra tidligere forskere på dette område.

Reaktioner

  • Artiklen fremhæver vigtigheden af at rense kontroltegn i tekstbaserede værktøjer for at mindske sikkerhedsrisici og understreger problemer i nogle terminalsystemer.
  • Den gør opmærksom på de vanskeligheder og udfordringer, der er forbundet med terminalemulering, især på grund af manglende standardisering, og foreslår behovet for en ny tekstterminalprotokol.
  • Indholdet dækker også emner relateret til terminalemulatorer og kontrolsekvenser og berører den historiske kontekst for escape-tasten, PostScript-brug i Lisp-programmer og tilknyttede projekter.

F-Droid: Android FOSS app-butik

  • F-Droid er en samling af gratis og open source-software (FOSS) apps til Android, der tilbyder en klient til nem browsing, installation og opdatering på enheder.
  • Den seneste opdatering introducerede nye applikationer og forbedrede funktioner, der øger brugervenligheden og funktionaliteten af F-Droid.
  • F-Droid er en non-profit organisation, der er afhængig af offentlige donationer for at opretholde sine tjenester og fortsætte med at levere sine tilbud til Android-fællesskabet.

Reaktioner

  • Artiklen udforsker F-Droid, en butik til gratis og open source Android-apps. Alternative klienter, herunder Aurora Droid og Neo Store, anbefales af brugerne til forbedret funktionalitet og app-installation.
  • Manglen på statistik over brugen af F-Droid, mulige forhindringer i implementeringen og den langsomme tilføjelse af ny software diskuteres i artiklen. Brugere anbefaler at tilføje ekstra repositories for at forbedre adgangen og nævner F-Droid Basic, en version af F-Droid.
  • Både positive og negative sider ved F-Droid fremhæves af brugerne, der påpeger, at mens nogle elsker det, kritiserer andre platformen for at indeholde flere apps, der ikke er blevet opdateret i årevis.

Sekskantede gitre (2013)

  • Guiden beskriver, hvordan man opretter og arbejder med sekskantede gitre, og dækker forskellige koordinatsystemer, algoritmer og formler med eksempler på programmeringskode.
  • Den diskuterer beregning af afstande, tegning af linjer og bestemmelse af bevægelsesområder for sekskantede gitre, sammen med algoritmer til håndtering af forhindringer, kortlagring, wraparound-kort og pathfinding.
  • Forfatteren anbefaler relevante ressourcer som GameLogic Grids-biblioteket i Unity, Hex-Grid Utilities-biblioteket, kodeeksempler, en PDF-artikel og proceduremæssig genereringskode til brug på hjemmesider.

Reaktioner

  • Artiklen kaster lys over Red Blob Games, en webside, der tilbyder ressourcer og guides til at håndtere sekskantede gitre.
  • Den forklarer forskellene mellem hexagoner med spids og flad top og hjælper med at forstå deres brug i kodning.
  • Diskussionen dækker koordinatsystemer og fordele og ulemper ved at bruge sekskantede gitre i spildesign.

Nonprofit-hospitaler sparer på velgørenhed, mens direktørerne høster millioner, viser rapport

  • Amerikanske nonprofit-hospitaler er kommet i søgelyset for at favorisere aflønning af ledere frem for velgørenhedspleje til lavindkomstpatienter.
  • Ifølge en rapport fra Senatets udvalg for sundhed, uddannelse, arbejde og pensioner bruger mange nonprofit-hospitaler mindre end 2% af deres indtægter på velgørenhed, mens hospitalernes direktører får millionlønninger.
  • Rapporten beskylder hospitalerne for at presse priserne og overtræde deres nonprofit-mandat. American Hospital Association protesterer dog mod, at rapporten overser de samfundsmæssige fordele, som hospitalerne tilbyder.

Reaktioner

  • Rapporten afslører, at nonprofit-hospitaler undersøges for deres relativt lave velgørenhed på trods af de høje direktørlønninger, hvilket rejser spørgsmål om retfærdighed i forhold til offentligt finansierede organisationer.
  • Denne debat berører hospitalets udfordringer med at betjene Medicaid- og Medicare-patienter, indvirkningen af offentlige betalinger på sundhedsomkostningerne og synspunkter på ledelsesaflønning, hvilket tyder på et behov for at tage fat på dette emne.
  • Rapporten diskuterer også gennemsigtighed i non-profit organisationers natur og finansielle drift, beskyldninger om aftalt spil, behovet for ændringer i lovgivningen om kampagnefinansiering og betydningen af at afsætte hospitalspenge til velgørenhed.

Flappy Bird implementeret i TypeScript-typer

  • Forfatteren udviklede et 2D Flappy Bird-spil udelukkende ved hjælp af TypeScript-typeannotationer, hvilket demonstrerer potentialet for at udnytte disse annotationer uden for TypeScript-compileren.
  • Spillets tilstand bliver opdateret baseret på principperne for funktionel programmering og rendering gennem en kommandobuffer fyldt med tegnekommandoer, hvilket viser projektets tekniske færdigheder.
  • Køretiden, der er skabt i Rust og Zig, bruger bytekode og web canvas API til spiludførelse med fremtidige planer om at bruge denne TypeScript-køretid på typeniveau som en højtydende typetjekker og til at udvikle et kompetent domænespecifikt sprog (DSL) til oprettelse af skemaer.

Reaktioner

  • Artiklen udforsker nytteværdien af TypeScripts typesystem gennem dets anvendelse i implementeringen af spillet Flappy Bird, og henviser til brugen af Ocaml i sudoku-løsning til sammenligning.
  • Den diskuterer styrken og kompleksiteten af TypeScripts typesystem, dets evne til at generere komplekse grænseflader og fordelene ved et avanceret typesystem.
  • Artiklen påpeger fleksibiliteten og begrænsningerne i TypeScripts typesystem og berører implikationerne af Turing Completeness - et begreb, der beskriver et system, der kan løse ethvert beregningsproblem, hvis det har tid og ressourcer nok.