Wir machen das mit den CVE-Nummern also für bestimmte Bugs, "Security Bugs", aber nicht für andere Bugs – alle anderen.

Ein Freund sagt:

Die CVEs sind Bookkeeping. Das ist wichtig und sinnvoll, aber es rettet Deine Cybersecurity nicht. Es erleichtert aber, darüber zu reden.

und in derselben Discord Message einen Absatz weiter unten

Von allen kritischen Lücken der letzten Jahre hatte ich erfahren, bevor der CVE raus war.

Ich fasse ihn zusammen:

Du hast von den CVE erfahren, bevor sie CVE waren und ohne den CVE Prozess.
Der ist also nicht entscheidend gewesen für für Informationsverbreitung und nicht für die Bewertung und nicht für das Handeln.

Der CVE gibt Dir also eine Bugnummer. Das ist alles. Man könnte auch den Bug im Bugtracker des jeweiligen Projektes referenzieren, jedenfalls bei der Software, die OSS ist – das Problem sind eher die unsichtbaren Bugtracker von propietärer Software.

Der Linux Kernel hat nicht ohne Grund bei dem ganzen CVE Zeug nicht mitgemacht und sich auch geweigert, “Security” bugs anders als andere bugs zu behandeln. Das hat gut funktioniert.

Dann haben Leute an denen vorbei CVE Nummern für Kernel Bugs bestellt, und das hat totales Chaos verursacht.

Die Reaktion der Kernel-Leute war, sich zur CNA machen zu lassen, also selbst CVE-Nummern zu vergeben und dann diese Macht zu nutzen, um CVE-Nummern zu produzieren. Das war dann auch nicht recht, "weil es den Prozess in unserer Organisation überlastet hat."

Je nun.

Wenn Du nicht Linux einsetzt, sondern RedHat, dann lies halt deren Bulletins und halte Dich nicht mit CVE-Nummern auf.

CVE sind ein System zur Verarbeitung von Bugs, das an allen Software Supply Chain und Fehlerbearbeitungen vorbei läuft und Prozesse belastet. Das wäre eventuell okay in Notfällen, aber meist sind es halt keine.

"Meist" as in "weitaus überwiegend."

Das Problem ist, daß "Deine Organisation" kein sinnvolles Software Supply Chain Management hat für Software und ihre Fehler. Deine Org ignoriert das meist, und wenn das nicht geht, dann verwendet sie die CVE um Supply Chain Management zu simulieren.

Das geht nun nicht mehr.

Ich seh das als Chance.

Es ist alles zum Kotzen in diesem Land: https://www.mdr.de/nachrichten/sachsen/dresden/dippoldiswalde-sebnitz/bruecke-badschandau-fahrrad-verbot-sperrung-100.html

Auto, Auto und noch mal Auto. Alle anderen können sehen, wie sie durch die Welt kommen.

These people are bad at counting motorcycles.

I see it. I have lived it. 83 years ago, the U.S. government turned upon a group of its own citizens and residents and sent them to internment camps without due process. I was there among them. American fascism is back. It is here. It is now.

wired mice are an accessibility thing, and I'm not afraid to say it

Ich suche für einen semiöffentlichen Kellerraum eine Möglichkeit, wie ich einen dLAN-Adapter und ein Netzwerkgerät vor unberechtigten Zugriffen absichern kann. Beide Geräte sind durch ein kurzes LAN-Kabel miteinander verbunden und haben in etwa die Größe von WLAN-Repeatern. Ich habe vor Ewigkeiten mal spezielle LAN-Kabel gesehen, die sich nur mit einem Werkzeug wieder abziehen ließen. Oder gibt es hierfür evtl. kleine (abschließbare) Boxen, in die nur das Stromkabel hineinführt?

#FollowerPower

"The paper clip problem" is a philosophical warning about how #AI could run amuck and destroy the world.

Imagine an AI programmed with the goal of maximizing paper clip production that gains super intelligence using its vast power to strip mine every ounce of iron and divert resources away from other activities, putting people and environment in existential threat.

Now replace "paper clip" with "profits" and "AI" with "CEO" or "billionaire" and you've found the true issue we face.

#economics

Liebe Berliner_innen, was will mir dieses Schild sagen?

@fedibikes_berlin #radfahrerfrei

🔗 Die SPD macht ja gerade eine Mitgliederbefragung, ob man Merz als Kanzler zustimmen würde. Habt ihr sicher gesehen.

Was ihr wahrscheinlich nicht gesehen habt, ist das Feld

"weightedVotingPower":"1"

in dem JSON. Hey Fefe, wovon redest du!? Guckt selbst! Die Verräterpartei macht eine Umfrage so inkompetent, dass schon beim Wählen sichtbar ist, dass deine Stimme weniger wert sein wird als Stimmen anderer Leute. Das ist also reine Makulatur, die ganze Chose.

Wisst ihr was? Ihr mögt doch alle Scifi. Was sagt ihr zu folgendem Plot?

Die SPD-Basis riecht den Kuhfladen und lehnt jetzt überwältigend Merz ab.

Ohne die SPD kann die CDU keine Regierung bilden. Die ganzen Schuldenpakete sind ja freundlicherweise bereits von der Vorregierung beschlossen und von der CDU durchgelassen worden.

Bei den Neuwahlen wird dann Grün+Links gewählt, die dann mit dem Geld sinnvolle Politik machen.

Ich weiß, was ihr jetzt sagen wollt. Fefe, du bist ein Security-Blogger, rede mal mehr über Security!

OK, na gut. Mache ich. Die Umfrage der SPD-Mitglieder, die über die Zukunft unserer Demokratie entscheidet, die findet in der Cloud statt, "abgesichert" von Huawei. Ihr wisst schon, das Huawei, das wegen seiner angeblichen Unsicherheit unbedingt schnellstmöglich aus dem Telekom-Kernnetz entfernt werden musste.

Mit anderen Worten: Die Cloud-Bros und Huawei bestimmen gerade, wie es mit unserer Demokratie weitergeht.

Auch mal ein schöner Scifi-Plot, wenn auch eher im Dystopie-Genre.

Welche Cloud-Bros? Na die von der Telekom. Die mit der souveränen Deutschlandcloud und so weiter. Die, die gerade Huawei rausschmeißen mussten, weil es zu unsicher ist. Bei denen läuft jetzt eine Huawei-Securitysoftware und schützt diese SPD-Mitgliederbefragung.

Kannste dir alles nicht ausdenken.

Berühmte Filmszenen:
"Pass auf, er hat einen Schraubenzieher!"
"Was? Das ist doch kein Schraubenzieher.
Das ist ein Schraubenzieher!"

Habe außerdem beschlossen, nicht mehr zu putzen, sondern den Schmutz inhaltlich zu stellen.

I love this