Das längste Thema

  • Vorgestern habe ich ein phpmyadmin installiert - ich hätte damit warten sollen:

    Nur falls Bedarf besteht... mir gingen die Updates auf den Sack und ich habs mittels Cronjob und Script automatisiert. :P

  • Die Seite bietet kein DNSSEC/TLSA und die Downloads werden nicht gegen (dezentral verteilte) Prüfsummen getestet, sondern gleich installiert? :/

    Merke ich mir mal als Ergänzung für das Script... so paranoid war ich bisher bei meinem internen Kleinkram noch nicht. ^^


    whoami0501 war nicht per git?

    Hab ich nicht geschaut oder probiert. Aber denke mal eher nicht so, weil man ja nicht irgendwas in der Entwicklung haben will, sondern ein stable Release.

  • sweet dreams

    Puh... morgen bzw. nachher, nicht nochn Vortrag. :P


    Ich habe in mein Script jetzt noch einen SHA256 Abgleich eingebaut. Denke mal, dass verbessert die Sache nochmal um ein Stück.


    m_ueberall Aber was stellst du dir unter dezentral vor? Dass ich mir den SHA256 Hash aus einer anderen Quelle, statt von phpmyadmin selbst, hole? Woher denn? Außer phpmyadmin bietet den ja eigentlich keiner nochmal an. :/

  • m_ueberall Aber was stellst du dir unter dezentral vor? Dass ich mir den SHA256 Hash aus einer anderen Quelle, statt von phpmyadmin selbst, hole? Woher denn? Außer phpmyadmin bietet den ja eigentlich keiner nochmal an. :/

    Ja, die Prüfsumme/Releases werden leider nicht auf GitHub hinterlegt oder sonstwie gespiegelt. Eine Möglichkeit wäre -- sofern ein git-checkout dieselben Dateien wie im Download-Archiv enthält -- ein Vergleich dieser beiden Quellen. Das Download-Archiv ist auch kryptographisch signiert, was bei strikter Nutzung/Akzeptanz der in der Dokumentation erwähnten Schlüssel zusätzlich eine (notwendige Minimal-)Testmöglichkeit darstellt (besser als die alleinige Verifikation der SHA256-Prüfsumme).

  • Ein Stable Release in einem Github Archiv so eines Projektes müsste schon für sich als Qualitätsmerkmal gelten. Wenn jemand es schafft, dass sein Changerequest mit einem Trojaner in das Stable gemerged wird, würde eine Prüfsumme auch nicht helfen.

    An welche Art der Manipulation denkt ihr, wenn ihr einen Link dieser Plattform anzweifelt?

  • Weiß jemand, wie man die Dashlets auf den Dashboards von Icinga2 verschieben bzw. neu anordnen kann?

    Irgendwie werde ich da gerade nicht schlau... :pinch:

    Habs auch nicht hinbekommen,


    mir fällt da nur löschen und in der richtigen reihenfolge neu anlegen ein.

    Hatte da auch schon die Community bei Icinga gecheckt,

    war nicht von Erfolg gekrönt.

    Da das aber eher zu meinen kleineren Problmen mit Icinga2 bzw dem Director gehörte

    hab ich das dann nicht weiter verfolgt.


    Eckhard

  • Ein Stable Release in einem Github Archiv so eines Projektes müsste schon für sich als Qualitätsmerkmal gelten. Wenn jemand es schafft, dass sein Changerequest mit einem Trojaner in das Stable gemerged wird, würde eine Prüfsumme auch nicht helfen.

    An welche Art der Manipulation denkt ihr, wenn ihr einen Link dieser Plattform anzweifelt?

    Grundsätzlich ist kein Zugang zu einer Plattform unangreifbar (vgl. Canonical's GitHub account was briefly compromised). Denkbar wären DNS Cache Poisoning – denn auch GitHub verwendet kein DNSSEC/TLSA – und/oder das Erschleichen von Zugangsdaten für Repositories.

    Ein Abgleich mehrerer Kriterien ist in jedem Fall dann hilfreich, wenn der Angreifer den vollständigen Arbeitsablauf (Veröffentlichung neuer Prüfsummen, Änderung der Webseiten – heutzutage von vielen, gerade kleinen Projekten auch via GitHub gehostet, also "ein und dieselbe Quelle") nicht replizieren kann/will (oder schlichtweg etwas vergisst), aus welchem Grunde auch immer.

    (Das Einbringen eines Trojaners über einen Change-Request wird von o.g. "einfacher Konsistenzprüfung" nicht abgedeckt; hier hilft nur, Programme aus einer "Downstream"-Quelle zu übernehmen, in der Hoffnung, dass zusätzliche Reviews etwas mehr Sicherheit bringen. Wurde auch schon unterlaufen…)

  • Wobei das hier natürlich schon eher in eine allgemeine Kritik gegenüber automatisierter Installationen abschweift. Man muss das alles auch immer etwas Abwegen. Ich finde das Skript z.B. für diesen Anwendungszweck (vor allem im privaten Umfeld) völlig ausreichend. Wenn die Umgebungen kritischer werden, setzt man sowas meist auch gar nicht mehr ein (persönlich bevorzuge ich für diese Zwecke ein MySQL Workbench über einen SSH Tunnel).


    Am Besten fährt man natürlich immer noch mit den signierten Paketen der eigenen Distribution. Da liegen die Keys nämlich schon lokal vor und die heruntergeladenen Pakete können dagegen geprüft werden (es sei denn man setzt auf Debian/Ubuntu und installiert teils stark veraltete, ungepatchte Software, dann bringt auch das Signieren nichts). Sobald externe Quellen zum Einsatz kommen hat man schon wieder das Problem, dass Key und Paket meist aus derselben Quelle stammen. Dann fahre ich nicht wirklich sicherer als wenn ich ein tar.gz von von Github herunterlade. Durch den aktuellen Docker Trend ist das ja auch nicht besser geworden. Die wenigsten erstellen die Images selbst.


    Meine Ansible Playbooks laden zum Teil auch einfach Releases von Github herunter. Ein Restrisiko bleibt natürlich immer bestehen, wenn man externe Software einsetzt. In der Regel hat man aber ganz andere Baustellen und größere Risiken als das hier.

  • die Videos des CCC sind ja durchaus interessant/amüsant, so wie auch das hier;)

    was mich hier aber irgendwie stört, dass niemand von dem vielen Pfusch abseits von Bits/Bytes spricht;


    Beispiel: von einer Dialogverarbeitung erwartet man, dass diese auch prüft ob man auch wirklich eine Zahl

    und nicht irgendwelchen Datenmüll eingegeben hat; und dass diese auch nur dann ein Weiter erlaubt,

    wenn diese Prüfung erfolgreich war;

    bei einer Leiter erwartet niemand, dass man nur dann auf die erste Sprosse steigen kann, wenn diese auch

    richtig aufgestellt und gesichert wurde; auch erwartet niemand, dass ein Queren der Fahrbahn bei rot unmöglich ist;


    auch neulich; in einer Konsumentenzeitschrift wird vor Lebensversicherungen abgeraten; ok soll so sein, hier aber die Geschichte mit dem Vermögensverlust,

    weil die Verzinsung durch die Inflation mehrfach zunichte gemacht wird, ist aber Fehl am Platz; deswegen kein Sparbuch/Online Sparen zu haben rät ja auch keiner;


    in diesem Sinne

    Mainzel-Glueck.jpg

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G8 xRAM; RS 500 SSD G8; S 1000 G7; VPS 200 G8 Akt.; Webhost. 1000 m. 75%

  • Eben. Erinnert mich irgendwie an deutsche Automobilhersteller, die sich mit Klauen und Zähnen zu wehren versucht haben gegen Re-Importe. Die gleichen Firmen, welche die Globalisierung durch Verlagerung der Produktion in Billiglohnländer genutzt haben. Oder die Regionalcodes bei DVDs, oder ... die Liste ist endlos. Wer die Vorteile nutzt, sollte sich auch mit den Nachteilen arrangieren.

    Globalisierung wenn Konzerne profitieren (Löhne, Produktion) = gut

    Globalisierung wenn Bürger profitieren (Direktimporte, weltweites Nutzen von Medien) = böse

  • Und ich werde in meinem Umfeld schon komisch angeschaut, wenn ich so "viel" für meine K141 (MKii) ausgegeben habe.


    =O ^^

    Für TVs werden tausende Euro hingeblättert, aber für Audio dann eine mickrige Soundbar.

    Versteh einer die Menschen...


    Bin gerade mit äußerst grottigen Ohrhörern unterwegs weil ich nicht allzu viel Gepäck zum Congress mitnehmen wollte (Gruß an alle nc-Bekanntschaften die ich bisher nur im Forum/IRC kannte btw :)). Am meisten freue ich mich im Moment wohl auf die gute Stereoanlage zuhause ^^

  • [netcup] Felix P. vielen lieben Dank für mein Weihnachtspaket, ging leider bei dem Umzug etwas unter. Gerade in der Kiste auf der Terrasse entdeckt - war wohl ohne Nachricht am Ablageort hinterlegt worden haha.


    Jetzt weiß ich zumindest, was ihr alle mit diesem Kaffe Thermo Ding meintet! 😂👌


    In diesem Sinne wünsche ich Netcup und der Community hier einen guten Rutsch ins neue Jahr und bedanke mich für ein hilfreiches, nettes und wieder sehr amüsantes Jahr hier 😂✌️