| Gefällt dir Sandra und Woo? Dann verlinke unsere Website oder stimme für uns ab bei TopWebComics: |
|
|
Macht derzeit Pause :-(
 S&W auf Englisch/in EnglishGaia (mein Fantasy-Comic) Scarlet (Science-Fantasy-Comic) |
|
|
![[1308] Sicherheitsluecke](/woode/comics/2021-12-16-1308-sicherheitsluecke.png "[1308] Sicherheitsluecke")
[1308] Sicherheitsluecke
└ gepostet am Thursday, 16. December 2021, von Novil
Klicke hier um die Kommentare zu sehen!
Sandra und Woo von Oliver Knörzer steht unter der Creative Commons Namensnennung-NichtKommerziell-KeineBearbeitung 3.0 Unported Lizenz. Weitere Details kannst du
auf der Info-Seite finden.
Privacy Policy | Impressum | © 2008 – 2026 Oliver Knörzer
Tja da hätte Sandra rechtzeitig die Sicherupdates vom Garagenhersteller einspielen sollen!
Und das auch noch so kurz vor Weihnachten…
Klar, hinterher kann man immer sagen, dass man selber schlauer gewesen wäre, aber diese Lücke hat mich schon ein Stück weit schockiert.
Damit, dass das Framework mit irgendwelchen Servern kommunizieren kann, hätte ich als Verwender NIEMALS gerechnet. Vielleicht, um Logs an Remote-Server zu schicken, um so Remote-Logging zu ermöglichen, aber zum Nachladen von Infos über zu loggende Parameter? Nee, hätte ich nicht erwartet. 😀
Tja, man lernt wohl nie aus.
Liebe Künstler,
ich las bisher Eure Comics sehr gern, aber da jetzt diese Werbung für den rechtsextremistischen Kopp Verlag aufgetaucht ist, , werde ich in Zukunft auf die Lektüre verzichten. Schade.
@ strohi:
Ja, das hat mich auch sehr verwundert, warum man auf die Idee kam, sowas für alle einzubauen.
@ Irgendwer:
Support für einen rechtsextremen Verlag geht gar nicht.
Wegen der Reaktion Sandras bleib’ ich erst ein mal cool und beobachte mal…
Der letzte Panel hat mich aber auch erst mal »verstört«.
Ich hab’ den Comic aber erst einmal als eine Parodie zu log4j aufgefasst; apropos:
@ Rico:
@ Sascha:
Ich hab’ zu der log4j-Geschichte heut’ einen Kommentar auf heise.de gelesen. Der Autor fasst die Sicherheitslücke eher ein »Feature« als ein »Fault« auf.
Ich bin aber eher E-Techniker als Informatiker…
@Irgendwer @Moatl
Ich weiß ja nicht, wo ihr hier Werbung für den Kopp Verlag bekommt, aber ich sehe keine.
Sollte es Werbung in einem der “Google Anzeigen”-Werbebanner gewesen sein, bin ich mir sicher, dass der Webseitenbetreiber darauf keinen Einfluss hat, welche von euren Cookies und Browserverlauf durch Google personalisierte Werbung ihr erhaltet.
Invasion aus einem Parallel-Universum:
https://www.e-stories.de/view-kurzgeschichten.phtml?18616
@ Rimtia:
Ich habe eher auf @Irgendwer geantwortet und mich evtl. etwas mißverständlich ausgedrück; »ginge« statt »geht« wäre evtl. die bessere Formulierung gewesen.
Ein Werbebanner für diesen Verlag habe ich jetzt nicht gesehen. Ich hab’ mich eher über den referenzierten Webcomic informiert: Die beiden Kiddies vertreten dort anscheinend auch eher konservative Standpunkte – aber eher in einer humorvollen Form. Ob dieser Comic in diesem Verlag erscheint, habe ich gestern dann nicht mehr recherchiert. Bei Übersetzungen geht oft die originale Idee verloren; z.B. bei der Kauka-Übersetzung von »Asterix« als »Siggi und Babarras«…
Falls es aber tatsächlich so eine Werbung gegeben hat, wäre das schade. Das hat man aber als Websiten-Betreiber oft aber nicht so ganz im Griff; vor allem wenn neue Werbung gebucht wird, da kann schon mal was »durchrutschen«…
Remote Code Injection ist ein Feature.
Sicherheitslücke as a Service sozusagen.
Man stelle sich zum Beispiel vor, Web Browser würden keinen unbekannten Code von Rechnern unter jemand anderes Kontrolle herunterladen, der jederzeit an jeder Stelle geändert werden könnte. Oder Webseiten würden keine Werbung von Ad-Trackern einbinden, die praktisch beliebigen Code enthalten kann.
Das wäre furchtbar. YouTube würde nicht mehr funktionieren. Facebook müsste die EU verlassen. Und statt Google würde jeder Qwant, Yandex, oder Baidu verwenden. Wir könnten genausogut wieder Gopher verwenden, oder FTP, oder sogar Gemini.
Dann gäbe es keine Webcomics mehr, nur noch Internetcomics.
Deshalb ist es wichtig, dass Business Logic ein Orchester von Microservices ist, von denen jeder dynamisch Code aus dem Internet nachladen kann. Ohne JNDI, ohne dlopen, ohne CORS XSS, ohne diese Sicherheitslücken wüsste Boeing nicht, wie sie Airbus unterbieten sollen, und Microsoft könnte gezwungen werden, Windows. Outlook, und Sharepoint einzustampfen. Certificate pinning würde die CAs ruinieren und MitM-Attacken verhindern. Niemand bräuchte mehr den Support von Cisco. Es wäre das Ende der Welt, wie wir sie kennen.
Deshalb soll auch der Security Manager in der JVM in der nächsten Version entfernt werden. Irgendwie muss ja Apple die privaten Daten seiner Jünger durchsuchen können.
(Wegen der Russen, wissen schon.)
@ Irgendwer:
Welche Werbung? Ist das im Comic und ich merke es nicht, oder woanders auf der Website?
Hat schon jemand rausgefunden was @ Irgendwer: meinte mit Werbung für den Koop Verlag?
Also Family Circus ist nicht rechtsextrem, eher konservativ.
Und die Bücher dazu werden auch nicht beim Koop Verlag veröffentlicht.
Jedenfalls hab ich auf der Webseite des Koop Verlages nichts dazu gefunden.
Vielleicht könnte Irgendwer es ja erklären? Scheinbar sind wir alle zu dem den Rechtsextremen Verlag zu finden.
@ Rico:
@ Rhodan:
Er meint wahrscheinlich die Werbung außerhalb des Comics sie wird bei mir links auf der Seite direkt unterhalb des Strip und über den Verweis zu anderen Comics und rechts unterhalb der Social Media angezeigt.
Sie wird wohl automatisch von Google generiert und ich hatte auch schon Vorschläge aus der Auswahl des Koop Verlags und andere Werbung die nicht mein persönlicher Fall war.
@ Nichtswissender:
Da kann dann aber Novil eher weniger dafür.
Diese Auswahl übernimmt google und nicht Novil.
Aber ich muss mal drauf achten ob ich auch Werbung für Rechtsextreme bekomme. Ist mir jetzt noch nicht aufgefallen. Ich achte auf die Werbebanner aber auch nicht.
Streng genommen spricht das womöglich sogar gegen @Irgendwer, denn Google schaltet die Anzeigen ja nach persönlichen Vorlieben. Also entweder ist er ein Linker, der viel auf tendenziell rechten Seiten recherchiert (kenne Deinen Feind) oder er hat doch irgendwelche anderen Überschneidungungen (und sei es nur Wohnort, Alter, Veranstaltungen etc.) mit der Zielgruppe
Thomas schrieb:
Zum Glück benutze ich einen AdBlocker, ich wohne in Chemnitz 🙂
@ Thomas:
Hmmm… Manchmal schickt Google auch einfach so neue “unpassende” Werbung; einfach als Versuchsballon. Ich hatte die Werbung jedenfalls auch.
Aber es gibt ja bei Google-Ads das hellblaue Kreuz. Wenn man dort draufklickt kann man Feedback geben und beim Feedback kann man “interessiert mich nicht” auswählen. Vielleicht hilft’s…
Andererseits, Blasenbildung wird damit wohl eher verstärkt…
@ strohi:
Log4j1.2 bot schon die Möglichkeit einen JMSAppender als schreibenden Logger anzuschließen (die Appender sind die Dinger, die den zu loggenden Text am Ende wirklich ausgeben). mit dem JMS-Appender war es möglich Informationen einfach an ein andere Java-Applikation zu übergeben um dort ggf. den Kontext zu haben um ein Ereignis vollständig loggen zu können.
Bei Log4j2 ist man einen Schritt weiter gegangen und hat diese Kommunikation auf Nicht-Java-Systeme ausgedehnt. Problematisch dabei ist, dass der Logger dabei die übergebenen Inhalte interpretiert und ausführt (und so z.B. auch Java-Code nachlädt und ausführt). Wenn man das Security-Framework von Java vernünftig verstanden hat, kann man dort einschränken mit welchen Servern ein Java-Prozess kommunizieren darf. Aus Bequemlichkeit machen das aber die wenigsten Programmierer. Daher ist diese Lücke so gefährlich.
Man kann einen Server natürlich auch einfach dadurch härten, indem man ihm grundsätzlich verbietet von sich aus Verbindungen nach Außen aufzubauen (bzw. nur zu eindeutig bekannten Servern ggf. mit Authentifizierung). Aber auch das ist den meisten Betreibern zu aufwändig.
In manchen Fällen ist es auch nicht möglich; z.B. wenn der Server Dienste ansprechen muss, die auf wechselnden IP-Adressen angeboten werden (wie diverse Cloud-Dienste).
Letztendlich sind es viele kleine Nachlässigkeiten, die zusammenkommen, wodurch diese Lücke so kritisch wird.
@ Parn74:
OK, helblaues Kreuz hilft nix. jetzt bekomme ich die Kopp-Werbung links *und* rechts 🙁
ok, jetzt mal drauf geachtet.
Heute mal Koop Werbung gehabt.
Hab ich aber eventuell auch irgendwer zu verdanken. Ich hätte das nicht googeln sollen den Verlag. Oder nur im Inkognito googeln.
Tja, mir werden nur Holzfenster auch dem Chiemgau und Traumhochzeiten hier in der Nähe angeboten. Kann keins von beiden gebrauchen 🙂
@ Thomas:
Klamotten, in Größen, die mir in Jahren nicht passen werden, werden mir auch dauernd angeboten 😀
Oder irgendwelche P4W Browsergames.
Oh Gott. Ich hab nur einen roten großen Fleck aus dem Augenwinkel gesehen und dachte, nach Gaia wird auch dieser Webcomic beendet… auf sehr brutale Art und Weise. Eieieieiei.
@ Rhodan:
Danke, das war auch mein Stand zu »Family Circus«, und deswegen nehm’ ich das eher bis auf weiteres humorig…
@ Nichtswissender:
…ist mir auch schon so gegangen: Da schaut man sich kurz vorher irgendwas an – im nächsten Moment bekommt man Werbung dafür.
Das tut jetzt zwar einigen Website-Betreibern weh, aber das ist definitiv ein Grund sich einen Add-Blocker zu installieren. Sorry Novil.
Also zuminderst bei mir scheint das blaue X der Werbebanner geholfen zu haben mit dem Koop Verlag. Ich bekomm dafür jetzt keine Werbung mehr.
Nur noch Werbung für Frauenklamotten.
Wbei ich mich frage: Wofür? und warum?
Oha, da habe ich was losgetreten… Eigentlich wollte ich nicht mehr hier lesen, war aber zum Glück etwas neugierig. Ich benutze ebenfalls AdBlocker, also war es vielleicht ein Versuchsballon. Ich recherchiere nicht auf solchen Seiten und bin auch privat ganz sicher nicht so unterwegs. Wenn die Comic-Zeichner und -Autoren nichts mit der Werbung zu tun haben, entschuldige ich mich hiermit.
Danke für die Hinweise und Tipps :-).