Gå til hovedinnhold

2023-10-21

Kryptert trafikkavlytting på Hetzner og Linode rettet mot Jabber-tjenesten

  • Jabber.ru, en XMPP-meldingstjeneste, ble utsatt for et man-in-the-middle-angrep der angriperen fanget opp kryptert trafikk i opptil 6 måneder hos hostingleverandørene Hetzner og Linode i Tyskland.
  • Til tross for det langvarige angrepet ble det ikke funnet bevis for serverbrudd eller spoofing-angrep. Imidlertid ble falske TLS-sertifikater utnyttet ved hjelp av Let's Encrypt til å kapre tilkoblinger.
  • Angrepet rammet først og fremst tilkoblinger til XMPP-tjenestens STARTTLS-port 5222. Avlyttingen ble mistenkt for å ha skjedd enten på lovlig vis eller som følge av et innbrudd i vertsleverandørens nettverk.

Reaksjoner

  • Tråden i Hacker News diskuterer avlytting av kryptert trafikk på hostingtjenester som er rettet mot meldingstjenesten Jabber, og tar for seg ulike strategier for å redusere risikoen, som ekstra autentisering, overvåking av SSL/TLS-sertifikater, RIPE Atlas-målinger og DLT-baserte systemer.
  • Diskusjonen tar for seg bruken av DANE for sertifikatautentisering og begrensningene ved sertifikatutstedere (CA-er). Andre temaer inkluderer potensielle sårbarheter i SSL-infrastrukturen, mulig kompromittering av utstedelse av SSL-sertifikater og betydningen av DNSSEC, CAA-poster og krypteringsmetoder som PGP og OMEMO/OpenPGP.
  • Tråden diskuterer behovet for flere sertifikater for samme domene, påliteligheten til SSL-sertifikater, potensiell lovlig avlytting og utfordringer med å garantere sikkerheten i hostingtjenester.

Tiårsjubileet for redningen av Healthcare.gov

  • For ti år siden ble det dannet et erfarent team kalt "tech surge" under ledelse av Todd Park for å løse problemene med det ikke-fungerende nettstedet HealthCare.gov.
  • Teamet, som besto av personer både innenfor og utenfor myndighetene, analyserte nettstedets utfordringer, inkludert, men ikke begrenset til, kode, testing, utgivelser og overvåking.
  • Etter intensive diskusjoner og møter installerte de et overvåkingssystem som avdekket kritiske ytelsesproblemer, noe som markerte starten på det kontinuerlige arbeidet med å forbedre nettstedet og gjøre det mulig for millioner av mennesker å melde seg inn i helsevesenet.

Reaksjoner

  • Diskusjonene dreier seg om helsereformen i USA, inkludert problemene som oppstod under utviklingen av Healthcare.gov, den politiske påvirkningen på Affordable Care Act (ACA) og kompetansen til Medicaid.
  • Oppmerksomheten rettes mot spørsmål som korrupsjon, kameraderi, fordeling av føderale midler, underbetaling av føderalt ansatte og bedrifters engasjement i IT-prosjekter knyttet til helsevesenet.
  • Samlet sett understreker diskursen de komplekse utfordringene med helsereformen, og understreker behovet for bedre systemer og politisk inngripen.

Politiet saksøker en tenåring for krenkelse av privatlivets fred etter at falske arrestasjonsvideoer ble virale

Reaksjoner

  • Teksten inneholder diskusjoner om ulike juridiske emner, blant annet politiets opptreden, personvern, ærekrenkelser og rettsprosedyrer.
  • Sentrale spørsmål som undersøkes, er blant annet effektiviteten av beskyttelsesordre, politiets rolle, sosiale mediers innflytelse på ansvarlighet, politifolks oppførsel i mindre lokalsamfunn, ærekrenkelseskrav og grenseagenters autoritet.
  • Dette brede spekteret av emner legger opp til en grundig utforskning av rettshåndhevelse og juridiske emner som er relevante for dagens samfunn.

På jakt etter den minst viste artikkelen på Wikipedia (2022)

  • Blogginnlegget undersøker søket etter de minst viste artiklene på Wikipedia, og mange av disse handler om insekter og obskure geografiske steder.
  • Den tar for seg samfunnets retningslinjer og praksis når det gjelder begrepet notabilitet, noe som har ført til at det ikke finnes artikler om bedrifter eller band blant de 500 mest besøkte sidene.
  • Disse mindre viste artiklene er viktige fordi de gir et grunnlag som fremtidige redaktører kan forbedre og bygge videre på.

Reaksjoner

  • Diskusjonen belyser utfordringer som Wikipedias redaktører støter på, for eksempel når de skal avgjøre om et emne er notabelt, håndtere plattformbegrensninger og håndtere slettinger.
  • Den belyser kjønnsdiskriminering og kvinnefiendtlighet på plattformen, skjevheter i notabilitetskriteriene og andre utfordringer knyttet til bidrag.
  • Den reiser spørsmål om Wikipedias innvirkning på søkeresultatene og om nøyaktigheten og påliteligheten til informasjonen på plattformen.

Nakatomi Space

  • Artikkelen undersøker de unike romlige metodene som karakterene i Die Hard bruker for å navigere i arkitekturen, og trekker paralleller til det israelske forsvarets strategier under invasjonen av Nablus.
  • Den introduserer begrepet "Nakatomi-rom", en skildring av endret arkitektonisk navigasjon i filmer som Die Hard, og vurderer en bredere urban implementering.
  • Videre utforskes ulike arkitektoniske konsepter som å bevege seg gjennom vegger, flytende rom og krenkelse av det private rom, samt maktdynamikken og implikasjonene av disse i film og litteratur.

Reaksjoner

  • Samtalen på bldgblog.com dekker en rekke temaer, som for eksempel byplanleggingens innvirkning på kriminalitetsraten og den opplevde mangelen på åpne spillmuligheter i moderne dataspill.
  • Diskusjonen tar også for seg James Bond-seriens tilsynelatende tilbakegang og analyserer skildringen av romantikk i filmer.
  • Deltakerne i diskusjonen bidrar med ulike synspunkter, anbefaler alternative spill og filmer og går i dybden på de mange aspektene ved temaene som diskuteres.

EU-kommissær som dobbeltagent for utenlandsk innblanding

  • En fersk undersøkelse viser at organisasjoner tilknyttet teknologibransjen og sikkerhetstjenester finansierer en kampanje til støtte for EUs foreslåtte "Chat Control"-forordning, som skal bekjempe seksuelt misbruk av barn.
  • Forordningen krever at tjenesteleverandører skal skanne og offentliggjøre mistenkelige private meldinger og bilder. Patrick Breyer, EU-parlamentariker, kritiserer EUs innenrikskommissær Ylva Johanssons engasjement.
  • Forkjemperne ser på kampanjen som en oppfordring til vilkårlig screening av private meldinger og bilder, noe de anser som en trussel mot digitalt personvern og kryptering. Foreløpig finnes det ingen slik lov i USA.

Reaksjoner

  • Passasjen belyser ulike EU-relaterte temaer, som anklager om korrupsjon og utenlandsk innblanding, suverenitetsdebatter og kritikk av EUs regelverk.
  • Det understreker bekymringen for EUs integritet og evne til å ivareta personvernet, noe som tyder på en viss skepsis til EUs regelverk og styring.
  • Teksten nevner også debatter om fordeler og ulemper ved statlige inngrep og reguleringer i forbindelse med kapitalisme og kommunisme.

De kan og vil ødelegge alt du elsker

  • Musikknettstedet Bandcamp, som er kjent for sin støtte til uavhengige artister, har blitt kjøpt opp av innholdslisensierings- og tjenesteselskapet Songtradr.
  • Oppkjøpet har skapt bekymring blant artister og fans, ettersom det allerede er varslet oppsigelser i Bandcamps redaksjon og vinylteam.
  • Salget har ført til usikkerhet rundt Bandcamps fremtid og dets fortsatte forpliktelse til å støtte uavhengige artister, noe som har skapt frykt for at nettstedets omdømme som uavhengig musikkplattform kan bli svekket under det nye eierskapet.

Reaksjoner

  • Diskusjonen dreier seg om Bandcamps ansatte som mister jobben, Bandcamps betydning som musikkplattform og bekymringene rundt oppkjøpet av Epic Games.
  • Det blir inngående diskusjoner om ulempene ved profittdrevne digitale spillbutikker, behovet for ideelle organisasjoner for å dyrke fellesskap og forholdet mellom arbeidsgiver og arbeidstaker.
  • Andre temaer er balansen mellom arbeids- og kapitalverdi, spørsmål om bærekraft på nettet, bevaring av kulturelt innhold av organisasjoner som Internet Archive, personvern og nedgangen for sosiale medier som MySpace og Twitter.

Hackere stjal tilgangstokener fra Oktas supportavdeling

  • Okta, en leverandør av identitetsverktøy for bedrifter, har hatt et sikkerhetsbrudd i kundestøtteenheten, noe som ga hackere tilgang i omtrent to uker før det ble lukket.
  • Innbruddet gjorde det mulig for angriperne å se filer som enkelte kunder hadde lastet opp, noe som potensielt kunne avsløre sensitive data som informasjonskapsler og økttokens.
  • Til tross for at hendelsen rammet et lite antall kunder, råder Okta alle kunder til å rense legitimasjon og tokens i filer før de deles, og spekulerer i om det er en kjent trusselaktør som står bak.

Reaksjoner

  • Okta, en sentralisert identitetsleverandør, opplevde et sikkerhetsbrudd der hackere stjal tilgangstokener fra supportavdelingen etter at en ansatt hadde lastet opp sensitive data til Oktas supportverktøy.
  • Denne hendelsen utløste diskusjoner om Oktas integritet og pålitelighet når det gjelder å administrere viktige IT-systemer, effektiviteten til sikkerhetsprotokollene deres og den kontinuerlige debatten om kontrasten mellom lokale systemer og skytjenester for autentisering.
  • Det er viktig å iverksette robuste sikkerhetstiltak, opprettholde en proaktiv cybersikkerhetsovervåking og vurdere alternative autentiseringsleverandører.

Fremskritt med No-GIL CPython

  • Pythons styringsråd vurderer å gjøre den globale tolkerlåsen (GIL), en mekanisme som forhindrer at flere innfødte tråder utfører Python-bytekoder samtidig, valgfri i fremtidige versjoner av Python.
  • Det pågår diskusjoner om kompatibilitet med utvidelser, forslag til API-endringer og potensielle navn for ikke-GIL-versjonen, med "free-threading" og "nogil" som forslag. De vurderer også å innføre et nytt Application Binary Interface (ABI), kalt "abi4".
  • Den endelige godkjenningen av Python Enhancement Proposal (PEP) knyttet til disse endringene avventes. Styringsrådet er i ferd med å definere sine akseptkriterier, samtidig som de diskuterer den potensielle innvirkningen på migrering og oppfatning.

Reaksjoner

  • Diskusjonen handler om ulike aspekter ved parallellprogrammering i Python. Dette inkluderer behovet for mer eksplisitt parallellisme i universitetspensum, og den potensielle fjerningen av Global Interpreter Lock (GIL), en mekanisme som forhindrer samtidig kjøring av Python-bytekoder av flere tråder.
  • Deltakerne har ulike oppfatninger. Noen er tilhengere av funksjonell kode uten sideeffekter, mens andre foreslår alternative tilnærminger, som virtuelle maskiner (VM-er) med sandkasser og overføring av oppgaver til biblioteker.
  • Det er bekymringer knyttet til Pythons enkelttrådede ytelse og overgangen fra Python 2 til 3, men de potensielle konsekvensene og fordelene ved å fjerne GIL og øke parallelliteten er også anerkjent.

Begrensning av Hetzner/Linode XMPP.ru MitM-avlyttingshendelsen

  • Eieren av jabber.ru og xmpp.ru rapporterte om et man-in-the-middle-angrep, sannsynligvis fra Tyskland, som innebar automatisk avlytting av trafikk og utstedelse av et uautorisert sertifikat.
  • Rapporten peker på svakheter i TLS-infrastrukturen (Transport Layer Security) og foreslår forbedrede sikkerhetstiltak som bruk av ACME (Automatic Certificate Management Environment)-Certificate Authority Authorization (CAA) og DNSSEC (Domain Name System Security Extensions).
  • Artikkelen fraråder bruk av tredjepartsløsninger, går inn for ende-til-ende-kryptering og stiller spørsmål ved hvor effektive "confidential computing"-teknologier er når det gjelder å gi god sikkerhet.

Reaksjoner

  • Det ble nylig oppdaget et sikkerhetsbrudd som involverte avlytting av XMPP-trafikk på Hetzner/Linode-nettverket, spesielt rettet mot XMPP STARTTLS-porten.
  • Angrepet ble dempet, men det avdekket sårbarheter og satte søkelyset på sikkerhetsrisikoer knyttet til datasentre og potensielle kompromitteringer i forsyningskjeden.
  • Diskusjonene dreide seg om brukernes bekymringer rundt bruken av Cloudflare, med en gjennomgang av fordeler og ulemper. XMPP står for Extensible Messaging and Presence Protocol, en kommunikasjonsprotokoll, og STARTTLS er en måte å oppgradere en ukryptert tilkobling til en kryptert tilkobling (TLS eller SSL).

["31M"? ANSI Terminal-sikkerhet i 2023 og funn av 10 CVE-er

  • Artikkelen diskuterer sårbarheter og potensielle utnyttelseskjeder i terminalemulatorer, med hovedvekt på rømningssekvenser.
  • Den identifiserer risikoer i populære terminalemulatorer og understreker viktigheten av å implementere riktig håndtering og tiltak for å redusere disse sårbarhetene.
  • Studien peker også på utviklingen av et testverktøy for terminaler og anerkjenner bidrag fra tidligere forskere på området.

Reaksjoner

  • Artikkelen belyser betydningen av å sanere kontrolltegn i tekstbaserte verktøy for å redusere sikkerhetsrisikoen, med vekt på problemer i enkelte terminalsystemer.
  • Den retter oppmerksomheten mot vanskelighetene og utfordringene knyttet til terminalemulering, spesielt på grunn av manglende standardisering, og foreslår behovet for en ny tekstterminalprotokoll.
  • Innholdet dekker også spørsmål knyttet til terminalemulatorer og kontrollsekvenser, og berører den historiske konteksten til escape-tasten, PostScript-bruk i Lisp-programmer og tilknyttede prosjekter.

F-Droid: Android FOSS app-butikk

  • F-Droid er en samling av gratis programvare med åpen kildekode (FOSS) for Android, og tilbyr en klient som gjør det enkelt å bla gjennom, installere og oppdatere apper på enheter.
  • Den siste oppdateringen introduserte nye applikasjoner og forbedrede funksjoner, noe som øker brukervennligheten og funksjonaliteten til F-Droid.
  • F-Droid er en ideell organisasjon som er avhengig av offentlige donasjoner for å opprettholde sine tjenester og fortsette å tilby sine tilbud til Android-fellesskapet.

Reaksjoner

  • Artikkelen tar for seg F-Droid, en butikk for gratis Android-apper med åpen kildekode. Brukerne anbefaler alternative klienter, inkludert Aurora Droid og Neo Store, for bedre funksjonalitet og appinstallasjon.
  • Mangel på bruksstatistikk for F-Droid, mulige hindringer i implementeringen og den langsomme tilføyelsen av ny programvare diskuteres i artikkelen. Brukerne anbefaler å legge til ekstra depoter for bedre tilgang og nevner F-Droid Basic, en versjon av F-Droid.
  • Brukerne trekker frem både positive og negative sider ved F-Droid, og påpeker at noen elsker plattformen, mens andre kritiserer den for å inneholde flere apper som ikke har blitt oppdatert på årevis.

Sekskantede rutenett (2013)

  • Veiledningen beskriver hvordan du oppretter og arbeider med sekskantede rutenett, og tar for seg ulike koordinatsystemer, algoritmer og formler med eksempler på programmeringskode.
  • Den tar for seg beregning av avstander, tegning av linjer og bestemmelse av bevegelsesområder for sekskantede rutenett, samt algoritmer for håndtering av hindringer, kartlagring, wraparound-kart og pathfinding.
  • Forfatteren anbefaler relevante ressurser som GameLogic Grids-biblioteket i Unity, Hex-Grid Utilities-biblioteket, kodeeksempler, en PDF-artikkel og prosedyregenereringskode for bruk på nettsteder.

Reaksjoner

  • Artikkelen belyser Red Blob Games, en nettside som tilbyr ressurser og veiledninger for håndtering av sekskantede rutenett.
  • Den forklarer forskjellene mellom spisse og flate sekskanter, og hjelper deg med å forstå hvordan de brukes i koding.
  • Diskusjonen tar for seg koordinatsystemer og fordeler og ulemper ved å bruke sekskantede rutenett i spilldesign.

Nonprofit-sykehus sparer på veldedighet mens administrerende direktører tjener millioner, viser rapport

  • Amerikanske ideelle sykehus er i søkelyset for å favorisere lederlønn fremfor veldedighet for pasienter med lav inntekt.
  • Ifølge en rapport fra senatets helse-, utdannings-, arbeids- og pensjonskomité bruker mange ideelle sykehus mindre enn 2 % av inntektene sine på veldedighet, mens sykehusdirektørene mottar millionlønninger.
  • Rapporten beskylder sykehusene for å drive med prisoverskridelser og for å bryte sine ideelle mandater. Den amerikanske sykehusforeningen protesterer imidlertid mot at rapporten overser de samfunnsnyttige tjenestene sykehusene tilbyr.

Reaksjoner

  • Rapporten avslører at ideelle sykehus granskes for sin relativt lave veldedighet til tross for de høye direktørlønningene, noe som reiser spørsmål om rettferdighet i forhold til offentlig finansierte organisasjoner.
  • Denne debatten berører sykehusets utfordringer med å betjene Medicaid- og Medicare-pasienter, effekten av offentlige utbetalinger på helsekostnadene og synet på lederlønn, noe som tyder på at det er behov for å ta opp dette temaet.
  • Rapporten diskuterer også åpenhet rundt ideelle organisasjoners natur og økonomiske drift, påstander om ulovlig samarbeid, behovet for endringer i kampanjefinansieringslovene og betydningen av å allokere sykehusmidler til veldedighet.

Flappy Bird implementert i TypeScript-typer

  • Forfatteren har utviklet et 2D Flappy Bird-spill utelukkende ved hjelp av TypeScript-typeannotasjoner, noe som viser at det er mulig å utnytte disse annotasjonene utenfor TypeScript-kompilatoren.
  • Spilltilstanden oppdateres basert på prinsippene for funksjonell programmering og rendering gjennom en kommandobuffer fylt med tegnekommandoer, noe som viser prosjektets tekniske ferdigheter.
  • Kjøretiden, som er laget i Rust og Zig, bruker bytecode og web canvas API for spillutførelse, med fremtidige planer om å bruke denne TypeScript-kjøretiden på typenivå som en høytytende typesjekker og for å utvikle et kompetent domenespesifikt språk (DSL) for å lage skjemaer.

Reaksjoner

  • Artikkelen utforsker nytten av TypeScripts typesystem gjennom implementeringen av spillet Flappy Bird, og viser til bruken av Ocaml til å løse sudoku til sammenligning.
  • Den diskuterer styrken og kompleksiteten i TypeScripts typesystem, dets evne til å generere komplekse grensesnitt og fordelene med et avansert typesystem.
  • Artikkelen peker på fleksibiliteten og begrensningene i TypeScripts typesystem og berører implikasjonene av Turing-kompletthet - et begrep som beskriver et system som er i stand til å løse ethvert beregningsproblem gitt nok tid og ressurser.