Ga naar hoofdinhoud

2023-10-21

Versleuteld onderscheppen van verkeer op Hetzner en Linode gericht op Jabber-service

  • Jabber.ru, een XMPP-berichtendienst, werd het slachtoffer van een man-in-the-middle-aanval waarbij de aanvaller tot 6 maanden lang versleuteld verkeer onderschepte op hostingproviders Hetzner en Linode in Duitsland.
  • Ondanks de langdurige aard van de aanval werd er geen bewijs gevonden van serverinbreuken of spoofingaanvallen. Er werden echter valse TLS-certificaten gebruikt met Let's Encrypt om verbindingen te kapen.
  • De aanval betrof voornamelijk verbindingen naar de STARTTLS-poort 5222 van de XMPP-dienst. Het vermoeden bestond dat de interceptie legaal was gedaan of het gevolg was van een inbraak in het netwerk van de hostingproviders.

Reacties

  • De thread in Hacker News bespreekt het onderscheppen van versleuteld verkeer op hostingservices die gericht zijn op de berichtendienst Jabber en gaat in op verschillende strategieën om het verkeer te beperken, zoals extra authenticatie, het monitoren van SSL/TLS-certificaten, RIPE Atlas-metingen en DLT-gebaseerde systemen.
  • De discussie gaat over het gebruik van DANE voor certificaatverificatie en de beperkingen van Certificate Authorities (CA's). Andere onderwerpen zijn mogelijke kwetsbaarheden in de SSL-infrastructuur, de mogelijke compromittering van de uitgifte van SSL-certificaten en het belang van DNSSEC, CAA-records en coderingsmethoden zoals PGP en OMEMO/OpenPGP.
  • De discussie gaat over de noodzaak van meerdere certificaten voor hetzelfde domein, de betrouwbaarheid van SSL-certificaten, mogelijke wettelijke onderschepping en de uitdagingen van het waarborgen van de veiligheid van hostingdiensten.

De tiende verjaardag van de redding van Healthcare.gov

  • Een decennium geleden werd een ervaren team genaamd "tech surge" onder leiding van Todd Park gevormd om de problemen met de niet-functionerende HealthCare.gov website op te lossen.
  • Het team, bestaande uit mensen van binnen en buiten de overheid, analyseerde de uitdagingen van de site, inclusief maar niet beperkt tot code, testen, releases en monitoring.
  • Na intensieve discussies en vergaderingen installeerden ze met succes een monitoringsysteem dat kritieke prestatieproblemen aan het licht bracht. Dit markeerde het begin van hun voortdurende inspanningen om de site te verbeteren en miljoenen mensen in staat te stellen zich in te schrijven voor dekking in de gezondheidszorg.

Reacties

  • De discussies gaan over de hervorming van de gezondheidszorg in de VS, waaronder de problemen tijdens de ontwikkeling van Healthcare.gov, de politieke invloeden op de Affordable Care Act (ACA) en de competentie van Medicaid.
  • De aandacht wordt gevestigd op zaken als corruptie, vriendjespolitiek, verdeling van federale fondsen, onderbetaling van federale werknemers en de betrokkenheid van bedrijven bij IT-projecten in de gezondheidszorg.
  • Over het algemeen onderstreept het discours de ingewikkelde uitdagingen van de hervorming van de gezondheidszorg en benadrukt het de noodzaak van verbeterde systemen en politieke interventie.

Agenten klagen tiener aan voor inbreuk op privacy na vals arrestatievideo die viraal gaat

Reacties

  • De tekst bevat discussies over verschillende wetgerelateerde onderwerpen, zoals politiegedrag, privacy, smaad en juridische procedures.
  • Belangrijke onderwerpen die worden onderzocht zijn de effectiviteit van beschermingsbevelen, de rol van rechtshandhaving, de invloed van sociale media op verantwoording, het gedrag van politieagenten in kleinere gemeenschappen, smaadclaims en de autoriteit van grensagenten.
  • Dit brede scala aan onderwerpen suggereert een diepgaande verkenning van wetshandhaving en juridische onderwerpen die relevant zijn voor de hedendaagse samenleving.

Op zoek naar het minst bekeken artikel op Wikipedia (2022)

  • De blogpost onderzoekt de zoektocht naar de minst bekeken artikelen op Wikipedia, waarvan er veel gaan over insecten en obscure geografische locaties.
  • Het gaat in op het beleid en de praktijken van de gemeenschap met betrekking tot het concept van noteerbaarheid, dat heeft geleid tot de afwezigheid van artikelen over bedrijven of bands in de onderste 500 meest bekeken pagina's.
  • Deze minder bekeken artikelen zijn belangrijk omdat ze toekomstige redacteuren een basis bieden om te verbeteren en op voort te bouwen.

Reacties

  • De discussie belicht uitdagingen die Wikipedia-editors tegenkomen, zoals het bepalen van de noteerbaarheid van een onderwerp, omgaan met platformbeperkingen en het beheren van verwijderingen.
  • Het brengt het bestaan van gendervooroordelen en vrouwenhaat op het platform aan het licht, de vooroordelen in notabiliteitscriteria en andere uitdagingen in bijdragen.
  • Het roept vragen op over de impact van Wikipedia op zoekresultaten, samen met vragen over de nauwkeurigheid en betrouwbaarheid van informatie op het platform.

Nakatomi Ruimte

  • Het artikel onderzoekt de unieke ruimtelijke methoden die de personages in Die Hard gebruiken om door architectuur te navigeren, waarbij parallellen worden getrokken met de strategieën van het Israëlische leger tijdens de invasie in Nablus.
  • Het introduceert het concept "Nakatomi-ruimte", een voorstelling van veranderde architectonische navigatie in films als Die Hard, en beschouwt een bredere stedelijke implementatie.
  • Verder verkent het verschillende architecturale concepten zoals door muren heen bewegen, vloeibaarheid van de ruimte en inbreuk op de privéruimte, en overdenkt het de machtsdynamiek en implicaties hiervan in film en literatuur.

Reacties

  • Het gesprek op bldgblog.com gaat over verschillende onderwerpen, zoals de invloed van stedelijke planning op criminaliteitscijfers en het vermeende tekort aan gameplay met een open einde in moderne videogames.
  • De discussie gaat ook over de ogenschijnlijke neergang van de James Bond-franchise en analyseert de weergave van romantiek in films.
  • Deelnemers aan de discussie dragen verschillende standpunten aan, bevelen alternatieve games en films aan en verdiepen zich in de veelzijdige aspecten van de besproken onderwerpen.

EU-commissaris als dubbelagent van buitenlandse inmenging

  • Uit een recent onderzoek blijkt dat organisaties uit de tech-industrie en van veiligheidsdiensten een campagne financieren ter ondersteuning van de voorgestelde "Chat Control"-verordening van de EU die seksueel misbruik van kinderen moet tegengaan.
  • Deze verordening dringt aan op het verplicht scannen en openbaar maken van verdachte privéberichten en foto's door serviceproviders. Patrick Breyer, een wetgever in het EU-parlement, bekritiseert de betrokkenheid van EU-commissaris voor Binnenlandse Zaken Ylva Johansson.
  • Voorstanders zien de campagne als een aanzet tot het willekeurig screenen van privéberichten en foto's, wat zij zien als een bedreiging voor digitale privacy en encryptie. Op dit moment bestaat een dergelijke wet nog niet in de VS.

Reacties

  • De passage belicht verschillende EU-gerelateerde onderwerpen, zoals beschuldigingen van corruptie en buitenlandse inmenging, soevereiniteitsdebatten en kritiek op EU-verordeningen.
  • Het onderstreept de bezorgdheid over de integriteit van de EU en haar vermogen om privacyrechten te waarborgen, wat wijst op een zekere mate van scepsis ten aanzien van haar regelgeving en bestuur.
  • De tekst vermeldt ook debatten over de voor- en nadelen van overheidsinterventie en -regulering in de context van kapitalisme en communisme.

Ze kunnen en zullen alles verpesten waar je van houdt

  • De muzieksite Bandcamp, bekend om zijn steun aan onafhankelijke artiesten, is overgenomen door contentlicentie- en servicebedrijf Songtradr.
  • Deze overname heeft geleid tot bezorgdheid onder artiesten en fans, omdat er al ontslagen zijn aangekondigd bij de redactie en het vinylteam van Bandcamp.
  • De verkoop heeft geleid tot onzekerheid over de toekomst van Bandcamp en haar voortdurende toewijding aan het ondersteunen van onafhankelijke artiesten, waardoor de angst is ontstaan dat de reputatie van de site als onafhankelijk muziekplatform in gevaar zou kunnen komen onder de nieuwe eigenaar.

Reacties

  • De discussie gaat over het banenverlies van Bandcamp-medewerkers, de betekenis van Bandcamp als muziekplatform en zorgen over de overname door Epic Games.
  • Er worden diepgaande discussies gevoerd over de nadelen van winstgerichte digitale gamewinkels, de noodzaak voor non-profitorganisaties om gemeenschappen te cultiveren en de relatie tussen werkgever en werknemer.
  • Verdere onderwerpen zijn de balans tussen arbeids- en kapitaalwaarde, duurzaamheidskwesties voor web-eigendommen, het behoud van culturele inhoud door organisaties zoals het Internet Archive, persoonlijke privacyrechten en de neergang van sociale mediaplatforms zoals MySpace en Twitter.

Hackers hebben toegangstokens gestolen van Okta's supportafdeling

  • Okta, een leverancier van zakelijke identiteitstools, heeft een beveiligingslek gehad in zijn klantenondersteuningseenheid, waardoor hackers ongeveer twee weken lang toegang hadden tot de controle.
  • Door de inbreuk konden de aanvallers bestanden bekijken die door bepaalde klanten waren geüpload, waarbij mogelijk gevoelige gegevens zoals cookies en sessietokens werden onthuld.
  • Ondanks dat het incident slechts een klein aantal klanten heeft getroffen, adviseert Okta alle klanten om referenties en tokens in bestanden op te schonen voordat ze worden gedeeld en speculeert Okta dat een bekende dreiger waarschijnlijk het doelwit was.

Reacties

  • Okta, een gecentraliseerde identiteitsleverancier, had een beveiligingslek waarbij hackers toegangstokens hadden gestolen van de supportafdeling, wat gebeurde nadat een medewerker gevoelige gegevens had geüpload naar Okta's supporttool.
  • Dit incident leidde tot discussies over de integriteit en betrouwbaarheid van Okta bij het beheer van belangrijke IT-systemen, de doeltreffendheid van hun beveiligingsprotocollen en de voortdurende discussie tussen on-premises systemen en cloudservices voor authenticatie.
  • Er is nadrukkelijk behoefte aan het implementeren van robuuste beveiligingsmaatregelen, proactieve waakzaamheid op het gebied van cyberbeveiliging en het overwegen van alternatieve authenticatieleveranciers.

Vooruitgang met No-GIL CPython

  • De Python stuurgroep overweegt om de global interpreter lock (GIL), een mechanisme dat voorkomt dat meerdere native threads tegelijk Python bytecodes uitvoeren, optioneel te maken in toekomstige versies van Python.
  • Er zijn discussies gaande over compatibiliteit met uitbreidingen, het voorstellen van API-wijzigingen en mogelijke namen voor de niet-GIL versie, met "free-threading" en "nogil" als suggesties. Er wordt ook overwogen om een nieuwe Application Binary Interface (ABI) te introduceren die "abi4" wordt genoemd.
  • De definitieve goedkeuring van het Python Enhancement Proposal (PEP) met betrekking tot deze wijzigingen is in afwachting. De stuurgroep is bezig met het definiëren van hun acceptatiecriteria en bespreekt de mogelijke impact op migratie en perceptie.

Reacties

  • De discussie gaat over verschillende aspecten van parallel programmeren in Python. Dit omvat de behoefte aan meer expliciet parallellisme in universitaire curricula, en de mogelijke verwijdering van Global Interpreter Lock (GIL), een mechanisme dat gelijktijdige uitvoering van Python bytecodes door meerdere threads voorkomt.
  • Deelnemers hebben verschillende meningen, sommigen promoten functionele code zonder neveneffecten, terwijl anderen alternatieve benaderingen voorstellen zoals sandboxed Virtual Machines (VM's) en het overhevelen van taken naar bibliotheken.
  • Er zijn zorgen over de single-threaded prestaties van Python en de overgang van Python 2 naar 3, maar de mogelijke gevolgen en voordelen van het verwijderen van GIL en het verbeteren van parallellisme worden ook erkend.

Het Hetzner/Linode XMPP.ru MitM onderscheppingsincident beperken

  • De eigenaar van jabber.ru en xmpp.ru meldde een man-in-the-middle aanval, waarschijnlijk afkomstig uit Duitsland, waarbij verkeer automatisch werd onderschept en een ongeautoriseerd certificaat werd uitgegeven.
  • Het rapport legt de nadruk op gebreken in de infrastructuur voor Transport Layer Security (TLS) en stelt verbeterde beveiligingsmaatregelen voor, zoals het gebruik van Automatic Certificate Management Environment (ACME)-Certificate Authority Authorization (CAA) en Domain Name System Security Extensions (DNSSEC).
  • Het artikel raadt af om te vertrouwen op oplossingen van derden, is voorstander van end-to-end encryptie en zet vraagtekens bij de effectiviteit van "vertrouwelijke computertechnologieën" als het gaat om het bieden van solide beveiliging.

Reacties

  • Onlangs werd een beveiligingslek ontdekt waarbij XMPP-verkeer op het Hetzner/Linode-netwerk werd onderschept, specifiek gericht op de XMPP STARTTLS-poort.
  • De aanval werd beperkt, maar legde kwetsbaarheden bloot en benadrukte beveiligingsrisico's in verband met datacenters en mogelijke inbreuken op de toeleveringsketen.
  • De discussies gingen over de bezorgdheid van gebruikers over het gebruik van Cloudflare, met een verkenning van de voor- en nadelen. XMPP staat voor Extensible Messaging and Presence Protocol, een communicatieprotocol, en STARTTLS is een manier om een niet-versleutelde verbinding te upgraden naar een versleutelde (TLS of SSL) verbinding.

["31M"? ANSI Terminal beveiliging in 2023 en het vinden van 10 CVE's

  • Het artikel bespreekt kwetsbaarheden en potentiële exploitketens die aanwezig zijn in terminalemulators, met de nadruk op escape-sequenties.
  • Het identificeert risico's in populaire terminal emulators en onderstreept het belang van het implementeren van de juiste behandeling en mitigatiemaatregelen tegen deze kwetsbaarheden.
  • Het onderzoek wijst ook op de ontwikkeling van een testinstrument voor terminals en erkent de bijdragen van eerdere onderzoekers op dit gebied.

Reacties

  • Het artikel benadrukt het belang van het opschonen van controletekens in tekstgebaseerde tools om beveiligingsrisico's te beperken, waarbij de nadruk ligt op problemen in sommige terminalsystemen.
  • Het vestigt de aandacht op de moeilijkheden en uitdagingen die gepaard gaan met terminalemulatie, vooral door een gebrek aan standaardisatie, en stelt de noodzaak voor van een nieuw tekstterminalprotocol.
  • De inhoud behandelt ook onderwerpen die te maken hebben met terminal emulators en control sequences, de historische context van de escape toets, PostScript gebruik in Lisp programma's en gerelateerde projecten.

F-Droid: Android FOSS-appwinkel

  • F-Droid is een repository van vrije en open-source software (FOSS) apps voor Android en biedt een client om eenvoudig te browsen, installeren en updaten op apparaten.
  • De meest recente update introduceerde nieuwe applicaties en verbeterde functies, waardoor de bruikbaarheid en functionaliteit van F-Droid is verbeterd.
  • F-Droid is een organisatie zonder winstoogmerk die afhankelijk is van publieke donaties om haar diensten te onderhouden en haar aanbod aan de Android-gemeenschap te kunnen blijven leveren.

Reacties

  • Het artikel onderzoekt F-Droid, een winkel voor gratis en open-source Android-apps. Alternatieve clients, waaronder Aurora Droid en Neo Store, worden door gebruikers aanbevolen voor verbeterde functionaliteit en app-installatie.
  • Een gebrek aan gebruiksstatistieken van F-Droid, mogelijke obstakels bij de implementatie en de langzame toevoeging van nieuwe software worden in het artikel besproken. Gebruikers raden aan om extra repositories toe te voegen voor verbeterde toegang en noemen F-Droid Basic, een versie van F-Droid.
  • Zowel de positieve als de negatieve kanten van F-Droid worden belicht door gebruikers, die erop wijzen dat sommigen er dol op zijn, maar dat anderen kritiek hebben op het platform omdat het verschillende apps bevat die al jaren niet meer zijn bijgewerkt.

Zeshoekige rasters (2013)

  • De gids beschrijft in detail hoe je hexagonale rasters kunt maken en ermee kunt werken, waarbij verschillende coördinatensystemen, algoritmen en formules worden behandeld met voorbeelden van programmeercode.
  • Het bespreekt het berekenen van afstanden, het tekenen van lijnen en het bepalen van bewegingsbereiken voor zeshoekige rasters, samen met algoritmen voor het omgaan met obstakels, kaartopslag, wraparound-kaarten en pathfinding.
  • De auteur beveelt relevante bronnen aan, zoals de GameLogic Grids-bibliotheek in Unity, de Hex-Grid Utilities-bibliotheek, voorbeeldcode, een PDF-artikel en code voor het genereren van proceduren voor gebruik op websites.

Reacties

  • Het artikel werpt een licht op Red Blob Games, een webpagina die hulpmiddelen en gidsen biedt voor het omgaan met zeshoekige rasters.
  • Er wordt ingegaan op de verschillen tussen puntige en platte hexagons, wat helpt bij het begrijpen van hun gebruik bij het coderen.
  • De discussie gaat over coördinatensystemen en de voor- en nadelen van het gebruik van zeshoekige rasters bij het ontwerpen van spellen.

Rapport: ziekenhuizen zonder winstoogmerk beknibbelen op liefdadigheid terwijl CEO's miljoenen opstrijken

  • Amerikaanse non-profitziekenhuizen worden kritisch bekeken omdat ze de voorkeur geven aan vergoedingen voor leidinggevenden boven liefdadigheidszorg voor patiënten met een laag inkomen.
  • Volgens een rapport van de Senaatscommissie voor Gezondheid, Onderwijs, Arbeid en Pensioenen besteden veel non-profitziekenhuizen minder dan 2% van hun inkomsten aan liefdadigheidszorg, terwijl de CEO's van ziekenhuizen miljoenensalarissen ontvangen.
  • Het rapport beschuldigt de ziekenhuizen van prijsopdrijving en het schenden van hun non-profit mandaat. De American Hospital Association protesteert echter dat het rapport de voordelen voor de gemeenschap die ziekenhuizen bieden over het hoofd ziet.

Reacties

  • Het rapport onthult dat non-profit ziekenhuizen onder de loep worden genomen vanwege hun relatief lage liefdadigheidszorg ondanks de hoge CEO-salarissen, wat vragen oproept over de eerlijkheid van publiek gefinancierde organisaties.
  • Dit debat gaat over de uitdagingen van het ziekenhuis bij het bedienen van Medicaid- en Medicare-patiënten, de invloed van overheidsbetalingen op de kosten van de gezondheidszorg en meningen over de beloning van bestuurders, wat erop wijst dat deze kwestie moet worden aangepakt.
  • Het rapport bespreekt ook transparantie met betrekking tot de aard en financiële operaties van non-profitorganisaties, beschuldigingen van samenspanning, de behoefte aan wijzigingen in de wetten voor campagnefinanciering en het belang van het toewijzen van ziekenhuisgelden aan liefdadigheidszorg.

Flappy Bird geïmplementeerd in TypeScript-types

  • De auteur heeft een 2D Flappy Bird-game ontwikkeld met alleen TypeScript type annotaties, waarmee het potentieel wordt aangetoond om gebruik te maken van deze annotaties buiten de TypeScript-compiler om.
  • De toestand van het spel wordt bijgewerkt op basis van de principes van functioneel programmeren en renderen via een opdrachtbuffer gevuld met tekenopdrachten, waarmee de technische vaardigheid van het project wordt getoond.
  • De runtime, gemaakt in Rust en Zig, maakt gebruik van bytecode en de web canvas API voor speluitvoering met toekomstige plannen om deze TypeScript runtime op type-niveau te gebruiken als een krachtige type-checker en om een competente Domain-Specific Language (DSL) te ontwikkelen voor het maken van schema's.

Reacties

  • Het artikel verkent het nut van TypeScript's typesysteem aan de hand van de toepassing ervan bij de implementatie van het spel Flappy Bird, en verwijst ter vergelijking naar het gebruik van Ocaml bij het oplossen van sudoku's.
  • Het bespreekt de kracht en complexiteit van het typesysteem van TypeScript, het vermogen om complexe interfaces te genereren en de voordelen van een geavanceerd typesysteem.
  • Het stuk wijst op de flexibiliteit en beperkingen van TypeScript's typesysteem en gaat in op de implicaties van Turing compleetheid - een term die een systeem beschrijft dat in staat is om elk rekenprobleem op te lossen als het genoeg tijd en middelen krijgt.