Kurioses aus dem weiten, weiten Internet


#1

Manche von den Dingen, über die man da so täglich stolpert, sind so grandios-kurios, die kann ich euch einfach nicht vorenthalten.

Heute zum Beispiel: https://www.heise.de/security/meldung/Zertifikats-Klau-Fatale-Sehschwaeche-bei-Comodo-3354229.html
Comodo so: Ja wir würden gerne SSL-Zertifikate über E-Mail-Adressen aus der WHOIS-Datenbank validieren.
.be und .eu so: Ja ne, da könnte ja jeder spammen. E-Mail-Adressen gibts hier nur als Bild.
Comodo so: Dann bauen wir halt OCR in unsere Zertifikats-Validierungs-Pipeline ein.

Nicht euer Ernst, oder? So viele Hände hat man gar nicht, wie man sich da an die Stirn klatschen will.^^

Regeln für diesen Thread: Jeder darf nur einen Link am Tag posten. Man darf keine Links posten, die man bei Fefe gefunden hat, das kann ja jeder. (Wenn der Link auch bei Fefe ist, man ihn aber vorher selber woanders gesehen hat, ist das erlaubt.) Mehr Regeln kommen dazu, falls das nötig wird.^^

So, jetzt geht’s mir besser. Und wenn ihr was findet, her damit :smiley:


#2

Der Rustcompiler hat mal ordentlich verkackt XD

EDIT: Wobei es auch sein kann, dass es an LLVM liegt. Die meisten Sprachen benutzen wohl i8 (also char) für booleans, während Rust i1 (also nur ein Bit) benutzt. Daher ist der i1 code von LLVM weniger gut getestet.

EDIT 2: Hier die Übersicht über die aktuellen Verkacker:


#3

Das ist in der Tat mal ein schöner Bug :smiley:


#4

Definitiv kurios: Amnesty International erklärt Facebook/WhatsApp zum sichersten Messenger :scream:


#5

Erste 64k Demo in Rust :heart_eyes:

Tweet:

Videomitschnitt:


#6

Das ist zwar nicht “weit”, aber doch kurios/seltsam… ich habe gerade, glaube ich zum ersten mal, die folgende Log-Meldung von hacksaar.de gemailt bekommen:

Nov 10 12:00:05 core kernel: [147557.106494] TCP: TCP: Possible SYN flooding on port 53. Sending cookies.  Check SNMP counters.

vorher kam

Nov 10 02:14:50 core named[421]: limit REFUSED error responses to 185.106.122.0/24
Nov 10 02:17:30 core named[421]: stop limiting error responses to 185.106.122.0/24
Nov 10 02:24:06 core named[421]: limit REFUSED error responses to 185.106.122.0/24
Nov 10 02:25:40 core named[421]: stop limiting error responses to 185.106.122.0/24
Nov 10 02:31:15 core named[421]: limit REFUSED error responses to 185.106.122.0/24
Nov 10 02:34:00 core named[421]: stop limiting error responses to 185.106.122.0/24
Nov 10 02:39:08 core named[421]: limit REFUSED error responses to 185.106.122.0/24
Nov 10 02:41:52 core named[421]: stop limiting error responses to 185.106.122.0/24

Scheint fast, als ob da jemand aus dem Segment 185.106.122.0/24 unseren DNS-Server DoSen will, oder ihn zum DoSen anderer Ziele verwenden will. Durch das Rate-Limiting sollte er damit aber nicht sehr weit kommen.


#7

Ich gehöre zwar nicht zur Zielgruppe, aber bei dem Titel Internet of Tampons war mein Interesse geweckt. Es wird der Tampon my.Flow vorgestellt. Er soll verschiedene Daten erfassen und mit dem Smartphone synchronisieren können. So kann dann z.B. der Wechselzeitpunkt vorausgesagt werden.

Quelle:


#8

@Jochen hatte doch neulich Unicode-Fragen im Space… da musste ich gerade dran denken, als ich https://manishearth.github.io/blog/2017/01/14/stop-ascribing-meaning-to-unicode-code-points/ las. Ist eben alles doch nicht so einfach, wie man oft denkt :wink:


#9

Netter Artikel, wenn auch nicht ganz so einfach zu überblicken beim ersten guck.

Was bedeutet denn bitte der Term “0(n)”?


#10

Das ist ein O (der Buchstabe), keine 0 (die Zahl). “O” steht hier für “Order”, im Sinne von Größenordnung. Es geht hier um die Komplexität eines Algorithmus.

Wenn ein Algorithmus O(n) ist, nennen wir ihn linear. Das heißt, wenn die Eingabe doppelt so groß wird, wird auch die benötigte Rechenzeit (in etwa) doppelt so groß. (“In etwa”, weil sie vielleicht auch dreimal so groß wird; solche konstanten Faktoren werden hier wegabstrahiert.) Beispiele hierfür wären z.B. das Ermitteln der Länge eines Strings. Andere Komplexitäten sind zum Beispiel O(n^2), wobei bei doppelter Eingabegröße sich die Laufzeit verfierfacht; bei dreifacher Eingabegrößer verneufnacht sie sich jedoch schon (wieder “in etwa”). Das trifft zum Beispiel auf bubble sort oder insertion sort zu, wobei n die Anzahl der zu sortierenden Elemente ist. Richtig eklig sind Algorithmen mit Komplexität O(2^n), also exponentieller Komplexität: Wenn man die Eingabe ein kleines bisschen größer macht, verdoppelt sich die Rechenzeit. Sowas will man unbedingt vermeiden.

Im Falle des Unicode-Artikels bezieht sich das O(n) auf die Frage: Wie aufwändig ist es, den n. Codepunkt in einem Text zu finden? Wenn man UTF-32 verwendet, ist der Aufwand unabhängig von n, da man einfach 4*n auf die Startadresse des Textes addiert. Das ist ein simpler Arrayzugriff. Wir sagen, die Komplexität ist konstant, geschrieben O(1). Wenn man jedoch UTF-8 verwendet, dann muss man den ganzen Text von vorne durchgehen und zählen, wie viele Codepunkte man schon gesehen hat, und dann bis n hochzählen. Das ist vom Aufwand her O(n), da man ca. doppelt so lange braucht, wenn man n verdoppelt. Wenn man das ständig tun würde, wäre das ein Problem. Der Artikel argumentiert jedoch, dass man das quasi nie tut, und wenn doch, dann macht man etwas falsch.


#11

Sogar Rust-Experten scheuen sich vor dem Kram: https://github.com/rust-lang/regex/issues/54


#12

Ich finde die GitLab-Backup-Story zu geil xD

Aber wie ist das denn bei uns?
Hat schonmal wer sein Backup geprüft? :wink:


#13

Natürlich!!!einself

Alle vorhandenen Backups wurden geprüft… ähem :wink:


#14

Brainfuck-Interpreter für den Hodor-Compiler, der in Rust-Makros geschrieben ist.

Man weiß einfach, dass man gleich Spaß hat wenn der Code anfängt mit
#![recursion_limit = "300000"] :joy:


#15

Heute wurde ich mal wieder daran erinnert, wie grausig Windows ist… https://github.com/rust-lang/rust/issues/29494


#16

Gimme gimme gimme a man after midnight #abba


#17

“Das war ein Kleinbus der Polizei. Jedes mal, wenn der vorgefahren ist, gab es plötzlich ganz viele Funksignale”, erläuterte die niederländische Forscherin, “Einmal haben sie das Fahrzeug nahe einem unserer Sensoren geparkt. Von dem haben wir dann überhaupt keine brauchbaren Daten bekommen.”

Gefunden in https://www.heise.de/newsticker/meldung/Menschenmengen-lassen-sich-nur-bedingt-per-WLAN-messen-3935690.html

Würde mich mal interessieren, was da für Hardware in dem Kleinbus war…


#18

Da hat wohl jemand ein “Spectre-sicheres DOOM” gebaut: https://blog.gerv.net/2018/01/meeting-a-slow-doom/

Einziges Problem: Das Rendern eines Frames dauert 7 Stunden…


#19

Endlich wissen wir, welche KI Googles reCAPTCHA trainiert: