Category Archives: Allgemein

12 KB langer Spamkommentar

„Hey, @everyspammingmotherfuckeroutthere,

even 12 KB long  comments aren’t giving you any place here, to promote your fucking fake URL 😀 Just forget it.“

Wenn es was nĂŒtzen wĂŒrde, wĂŒrde ich das jeden Tag schreiben, aber es nutzt ja leider nichts 🙂 Bemerkenswert ist diesmal nur die LĂ€nge von mehr als 12 KB reinem Text als Kommentar auf einen alten TOP 1 Google Post. Und nicht ein Wort hatte was mit dem wofĂŒr der Typ werben wollte zu tun. Denkt Euch mal 12 KB Text aus, der nur nachfragt, wie man auf den Text gekommnen ist, was das fĂŒrne Blogsoftware  das ist und all den ganzen Mist den der Typ sich zusammengebastelt hat 😀 Ist auch ne Art Leistung, ich werde Sie aber nicht honorieren, außer um drĂŒber abzulĂ€stern 😉

Oh ich sehe grade, der Bot war mehr als zwölfmal mit dem gleichen langen Kommentar da 🙂 Was fĂŒrn Fail.

Ist das eigentlich ne Ehre, wenn man in mehreren Sprachen zugespammt wird ? Hat man dann mehr Reichweite gehabt, als nur in seinem Heimatland oder ist das den Bots egal ?

HAHA, einer hat den Kommentar als Texttemplate da gelassen 😀

{I have|I’ve} been {surfing|browsing} online more than {three|3|2|4} hours today, yet I never fouund any interesting article like
yours. {It’s|It is} pretty worth enough for me. {In my opinion|Personally|In my view}, if all {webmasters|site owners|website owners|web owners} andd bloggers
made good content as you did, the {internet|net|web}
will be {much more|a lot more} useful han ever before.|
I {couldn’t|could not}{resist|refrain from} commenting.
{Very well|Perfectly|Well|Exceptionally well} written!|
{I will|I’ll} {right away|immediately} {take hold of|grab|clutch|grasp|seize|snatch} your {rss|rss feed} as I {can not|can’t}
{in finding|find|to find} yor {email|e-mail} subscription {link|hyperlink} or {newsletter|e-newsletter} service.

Da wird dann randomisiert bei jeder Auswahl ein Teil genommen, damits zufĂ€llig ist und von den Spamfiltern nicht sofort gefunden wird. Ich kann Euch sagen: Hat nicht funktioniert 😀

Aus all den negativen Spams kann man natĂŒrlich schön ablesen, welche Artikel grade bei Google zumindest auf Seite 1 gelandet sind, nicht alle sind auch in den TOP 3, aber einige schaffen es dann doch auf Platz 1 🙂 Ist fast besser als ein externes Ranking, weil man fast tagesgenau sehen kann, welches Thema grade hip ist bei den Bots und damit bei Google 😀

Web Korrekturen und Erweiterungen

Posted on by

Moin,

es gab bei mir Blog ja mal eine Kategorie: „Diese Woche im Netz“ , wo ich Meldungen aus aller Welt gepostet habe.

Diese Woche werde ich das mal wieder aufleben lassen, da einiges der Korrektur oder zumindest der fachlichen Erweiterung bedarf. Ja, das klingt jetzt ĂŒberheblich, aber Ihr werdet gleich sehen was gemeint ist:

Wie man Dateien verschlĂŒsselt

Quelle: https://www.howtoforge.com/tutorial/how-to-hide-lock-encrypt-and-secure-your-files-on-linux/

In dem Artikel finden wir folgende Aussage :

„Encrypting is the best way to secure your file so I am mentioning this step as the final one of this quick guide. … If you delete the original file, then you are left with the encrypted one that needs your password to get decrypted with the “mcrypt -d” command as shown below.“

Was ist daran falsch ?

Nun, wenn man eine Datei löscht, dann wird lediglich der Platz auf der Festplatte den die Datei belegt hat, wieder als verfĂŒgbar gekennzeichnet und der Eintrag im Verzeichnisbaum entfernt, ansonsten passiert „nichts“.  Dies bedeutet, daß der Inhalt der Datei auf der Festplatte immer noch gefunden werden kann. Wer also sicher gehen will, daß die Daten wirklich weg sind, der muß die Datei „nullen“ z.B. dd in=/dev/zero out=/pfad/zur/datei  und sie dann löschen. So wird sichergestellt, daß der Inhalt eben nicht mehr auf der Platte zu finden ist.

Jetzt kommt natĂŒrlich gleich die Argumentation, daß ja das Schreiben von neuen Dateien den Platz der alten, gelöschten Dateien belegt und damit den Inhalt ĂŒberschreibt. Das stimmt rein technisch irgendwann mal, ist aber leider eine irrefĂŒhrende Annahme, denn man kann sich nicht darauf verlassen. Besonders bei SSDs und USB Flashspeichern fĂ€llt das eher unter „theoretisch“, denn diese Medien verteilen das Schreiben von Daten gleichmĂ€ĂŸig auf alle Zellen des Speichermediums, damit diese gleichmĂ€ĂŸig abgenutzt werden. Es wird somit genau das stĂ€ndige Beschreiben eines Sektors vermieden. Ein Filesystem, das sich bewußt ist, daß eine SSD oder ein USB-Stick genutzt werden, wird dies unterstĂŒtzen und das baldige ĂŒberschreiben von Sektoren zusĂ€tzlich vermeiden.

Bei Flashspeichern ist das sogar noch schlimmer, die können einen zusĂ€tzlichen Speicherblock in der Hardware haben, um eine lĂ€ngere Lebensdauer zu gewĂ€hrleisten, da ist die Chance, das eine Information ĂŒberschrieben wird noch geringer.

Daher muß der Hinweis folgendermaßen lauten:

  1. handelt es sich um eine Festplatte mit Magnetspeicher, so erzeuge nach dem Löschen des unverschlĂŒsselten Originals, genug zufĂ€llig Daten um die gesamte freie SpeicherkapazitĂ€t des Mediums zu belegen. Nur so ist gewĂ€hrleistet, daß die unverschlĂŒsselten Daten wirklich weg sind.
  2. Wesentlich cleverer ist es, gleich eine FestplattenvollverschlĂŒsselung zu benutzen, mit der ergibt sich das Problem gar nicht erst, weil von außen gesehen ist alles verschlĂŒsselt, auch die gelöschten Daten.
  3. Bei USB-Flashdrives möchte ich auf diesen Artikel verweisen, weil das Thema zu lang wĂ€re : Mit LUKS einen USB Stick verschlĂŒsseln

Man kann festhalten, daß es clever ist, erst ein Medium zu verschlĂŒsseln, bevor man etwas aufspielt, daß man spĂ€ter wieder sicher löschen möchte.

Wie man HTTP/2 in einem Apache aktiviert…

hat Chris in seinem Blog beschrieben. Nunja Chris, da fehlen leider noch Infos 😉

Quelle: https://musicchris.de/index.php?page=blog&id=88

Mit dem Artikel ist erstmal alles ok soweit, im Detail möchte ich noch etwas anfĂŒgen. ZunĂ€chst mal ist HTTP/2 bereits in einem modernen Apache aktiv :

[root ~]# cat /etc/httpd/conf.modules.d/10-h2.conf
LoadModule http2_module modules/mod_http2.so
[root ~]# cat /etc/httpd/conf.modules.d/10-proxy_h2.conf
LoadModule proxy_http2_module modules/mod_proxy_http2.so

Man kann das natĂŒrlich auch zentral in einer Datei machen :

[root ~]# cat /etc/httpd/conf.d/http2.conf
LoadModule http2_module modules/mod_http2.so
Protocols h2 h2c http/1.1
ProtocolsHonorOrder On

[Anmerkung: Wenn man das in eine eigene Datei schreibt, sollte man es in den anderen deaktivieren, gibt sonst blöde Warnungen beim Start]

Was meint h2 und h2c ?

h2 (HTTP/2 over TLS)     ist HTTP2 verschlĂŒsselt, weil es TLS einsetzen möchte

h2c (HTTP/2 over TCP)  ist HTTP2 ĂŒber eine normale, unverschlĂŒsselte Verbindung.

Beides ist völlig valide, weil fĂŒr die VerschlĂŒsselung einer Webseite noch immer die Protokolle HTTPS://  oder HTTP:// entscheiden. Wer Klartext nicht benötigt, kann das auch weglassen. Beides tut dem Nutzprinzip von HTTP/2 keinen Abbruch.

Wann funktioniert H2 nicht, auch wenn ich es geladen habe ?

Diese Frage bringt uns zum eigentlichen Knackpunkt der Sache, denn H2 funktioniert im Apache nicht immer. Wer seinen Apache ĂŒber Jahre eingesetzt hat, wird einen schleichenden Wandel bemerkt haben. FrĂŒher ™ haben Apachen im PreFork-Modus gearbeitet :

LoadModule mpm_prefork_module modules/mod_mpm_prefork.s

Dabei wurde eine bestimmte Anzahl von Prozessen gestartet und die warteten auf Verbindungen. Funktioniert solide, aber nicht mit H2 🙂 FĂŒr H2 braucht es das Worker Event Modell:

LoadModule mpm_event_module modules/mod_mpm_event.so

Das Gemeine ist, daß Apache einem beim Start nur einen dezenten Hinweis gibt, daß H2 nicht mit PreFork arbeitet, aber ansonsten problemlos startet. Einen „You configured Nonsense“-Error sucht man vergebens.

Bundestagswahl – Du verbreitest Fakenews – Wahlergebnissoftware komplett fĂŒr die Tonne

Quellen:

https://www.heise.de/newsticker/meldung/PC-Wahl-Debakel-Wahlleiter-versprechen-Sicherheit-nennen-aber-wenig-Details-3824970.html

Click to access PC-Wahl_Bericht_CCC.pdf

https://v–i–m–e–o.com/232663968 ( — bitte entfernen )
https://ccc.de/de/updates/2017/pc-wahl/

Keine Ahnung wer sich von Euch das PDF von Thorsten Schröder , Linus Neumann & Martin Tschirsich angetan hat, ich habe es komplett gelesen. Der Eindruck der sich einem da aufdrÀngt ist, das der Hersteller noch nie was von Security gehört hatte, bzw. in Salamitaktik nur die Kosmetik behebt, aber das Problem nicht, weil die das Problem nicht verstehen.

Ohne im Detail jetzt auf jede einzelne der selten dÀmlichen Fehler einzugehen, halten wir mal fest was wir da hatten:

  • – Webserver, deren Zugangsdaten bekannt waren.
  • – Updateprozesse, die man manipulieren konnte
  • – keinen Plan wie man von oben nach unten AuthentizitĂ€t gewĂ€hrleistet, wobei das mit Zertifikaten problemlos möglich gewesen wĂ€re.

Wer sagt uns jetzt, daß a) nicht schon lange jemand Schadsoftware auf den Rechner abgekippt hat ? b) was passiert wohl, wenn das Szenario „Übermittlungsmanipulation“ RealitĂ€t wird ? Das amtliche Endergebnis mag durch einen zweiten Kanal gesichert sein, ich tippe ja auf Boten mit Aktenkoffern und Handschellen, aber was passiert bis das auffliegt ?

Das könnte so ablaufen …

18 Uhr, die Wahllokale schliessen. Ersten Hochrechnungen zufolge, liegen NCDU und VPD vorn, bereit eine neue GroKo zu basteln, die wieder nichts als Unsinn anstellt. Gegen 19 Uhr kommen die ersten Ergebnisse… DER SCHOCK… RPD und LPD mit 38% und 32% vorn, VPD und NCDU geschlagen. Merkel springt aus dem Fenster des Kanzleramtes, Gabriel und Schulz reden das Ergebnis schön, fern jeder RealitĂ€t und unter stetig steigendem Alkoholzufluß immer viskoser. Die GrĂŒnen sind so blass, daß selbst Westerwelle (RIP) dagegen noch Farbe im Gesicht gehabt hĂ€tte.

Die Wahlparties der RPD und der LPD geraten stark außer Kontrolle, diverse Asylbewerberheime gehen in Flammen auf, diverse Schredderaktionen bei Banken kommen ins Stocken. BĂ€ngster und anderes Spekulantenpack im Freudentaumel. Hochranige Beamte packen die Koffer und setzen sich noch mit dem ersten Abendflug ins Ausland ab, da die RPD im Ruf steht unter den bisherigen Strukturposteninhabern aufzurĂ€umen. Unterdessen rollen erste Bautrupps in Mecklenburg den Stacheldraht ab und beginnen Holzbaracken auf den jetzt umzĂ€unten GrundstĂŒcken zu errichten. Erste Kommandeure der Bundeswehr plannen den Sturz der neuen Regierung.

Ok, der Trubel hÀlt nur bis Dienstag an, aber der Schaden an GebÀuden und Regierungspersonal wird betrÀchtlich sein. Auch wenn die Freunde-von-Merkel-Partei-Deutschlands am Ende doch an der Macht bleibt, weil das A in AFD doch nicht so alternativ war, kann uns das mehr kosten als uns das liebt ist.

Da fragen wir uns jetzt mal: Muß das alles sein ?

Auch wenn es nicht ganz so hart kommt wie beschrieben 😉 , allein die Tatsache, daß fĂŒr 16-24h ein anderer Wahlgewinner feststehen könnte, sorgt doch bei allen Parteien fĂŒr Bedenken, daß das Wahlergebnis manipuliert wurde. Wenn die Wahl nicht im Sinne der jeweiligen Partei verlĂ€uft, kommen doch die Verlierer gleich mit „Der CCC hat gesagt, daß die Wahl….“ .. Popkornfaktor mal außen vor, son Chaos bei der Wahl können wir nicht wollen. Oder ?