Makura no Soshi

Security & Crypto edition

• On the Juniper backdoor, Matthew Green
  And while every reasonable person knows you can’t just drop “passive decryption vulnerability” and expect the world to go on with its business, this is exactly what Juniper tried to do. Since they weren’t talking about it, it fell to software experts to try to work out what was happening by looking carefully at firmware released by the company.
• Why I don’t care that Dell installs Rogue Certificates On Laptops, Tom Limoncelli
  Every new machine should be wiped and reloaded with your organization’s “standard build”. Having a “standard build” is one of the foundational pieces of infrastructure that your organization is responsible for. It is so fundamental that not having this kind of infrastructure is negligent.
• The Moral Character of Cryptographic Work, Phillip Rogaway
  As computer scientists and cryptographers, we are twice culpable when it comes to mass surveillance: computer science created the technologies that underlie our communications infrastructure, and that are now turning it into an apparatus for surveillance and control; while cryptography contains within it the underused potential to redirect this tragic turn.
• The IPv6 Numeric IP Format is a Serious Usability Problem, Adam Ierymenko
  While the IPv6 protocol itself is fine, its original designers made some truly bizarre decisions around how to represent numeric addresses.
• How to C (as of 2016), Matt Stancliff
  The first rule of C is don’t write C if you can avoid it. If you must write in C, you should follow modern rules.
• Mozilla SSL Configuration Generator
  The goal of this document is to help operational teams with the configuration of TLS on servers.

A few good articles on cloud development and operations.

• Sort out deployment first, Lars Wirzenius
  It is tempting to start a new project with the interesting bits, but it’s often a mistake. One of the first steps in a new project should be to sort out deployment: getting the software installed and configured so it can be used.
• 5 AWS mistakes you should avoid, Michael Wittig
  Useful to evaluate your own AWS web application.
• 12 Fractured Apps, Kelsey Hightower
  Once Docker hit the scene the benefits of the 12 Factor App (12FA) really started to shine. […] Unfortunately legacy applications, including the soon-to-be-legacy application you are working on right now, have many shortcomings, especially around the startup process.
• Moving a team from Scala to Golang, Jim Plush
  You can jump into any Go project and know immediately what it’s doing. Do I miss immutable types and some of the great features of Scala? Sure do, but I think the maintainability side of the story is too great to overlook with Go.
• Ansible 2.0 Has Arrived
  After a year of work, we are extremely proud to announce that Ansible 2.0 (“Over the Hills and Far Away”) has been released and is now generally available. This looks like a big step forward. Finally Ansible gets a usable parsing/error reporting and with the new execution strategies you no longer have to update all hosts in lockstep.
• What’s in a Name?, Geoff Huston (ISP Column Dec 2015)
  What’s the difference between .local and .here? Or between .onion and .apple?

• Resist and Thrive, Yancey Strickler
• An Office for Introverts, Olga Khazan at The Atlantic
• Why the 2016 Election Will Be One of the Most Pivotal Moments of Our Time, Sean Wilentz at RollingStone
• Jury Duty, Anonymous
• Why is Steam so insistent on security?, on Information Security StackExchange
• Table of system latencies, via @azeem

Das WPCamp war am 13. Oktober, bei wunderschönem Oktoberwetter an der Beuth-Hochschule in Berlin. Weil’s jetzt doch schon einen Monat her ist spare ich mir lange Berichte aus allen besuchten Sessions. Neben meiner eigenen – mit dem viel zu langen Slideument zum Thema Software-/Website-Test – fand ich besonders Caspars Session zur Happy Community wichtig. Vielleicht schreibe ich da noch einen separaten Artikel zu.

Read the rest of this entry »

Inspiriert vom WP-Meetup und der gestiegenen Tablet-Dichte dort ist diese Seite mal wieder um ein Buzzword reicher: sie hat Responsive Design.

Die Idee ist eigentlich recht einfach: Auf kleinen Displays ist mein dreispaltiges Layout unpassend, weil die Spalten zu schmal werden. Also soll in einem schmalen Browserfenster ein einfacheres, einspaltiges Layout angezeigt werden. Und weil ich konservativ bin möchte ich das ohne Javascript nur mit CSS machen.

Read the rest of this entry »

Können wir einfach mal aufhören ständig vom Urheberrecht zu sprechen?

Die üblichen Proponenten von ACTA, von Leistungsschutzrechten und dem „geistigen Eigentum“-Mem sind nämlich keine Urheber, sondern allesamt Verwerter die stärkere Verwertungsrechte fordern.

Und die benutzen sie um die Urheber zu enteignen, Werke zu verstümmeln und nicht-rentables verotten zu lassen…

Der Sony-Mitarbeiter Tim Bird hat vorgeschlagen einen Solitär-Ersatz zu entwickeln, der nicht unter der EULA steht. Mit diesem Vorschlag hat für erhebliche Kontroversen gesorgt: Solitär ist ein Spiel, das in vielen Windows-Varianten eingesetzt wird. Er diente in der Vergangenheit häufig als Aufhänger, um die EULA gegenüber Herstellern durchzusetzen, die Windows in Desktops, Workstations oder Unterhaltungselektronik verbauen, ohne die Nutzungslizenzen zu erwerben, wie es die EULA fordert.

Der Microsoftentwickler John Doe wirft Bird daher vor, er wolle mit einem Vorschlag vor allem EULA-Verletzungen erleichtern. Bird betont, das sei keineswegs sein Ziel; allerdings stünden die Forderungen des Konzerns Microsoft, Inhaber der Rechte an Solitär, bei einer (möglicherweise bloß versehentlichen) EULA-Verletzung nicht in Relation zu dem Wert des Programms.

Der gute Vorsatz für’s neue Jahr: hier bei mehr angefangenen Artikeln auch auf Veröffentlichen klicken … ;-)