Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]
Groups > ger.ct > #646043 > unrolled thread
| Started by | Dr. Joachim Neudert <neudert@5sl.org> |
|---|---|
| First post | 2025-09-03 11:33 +0000 |
| Last post | 2025-09-07 17:24 +0100 |
| Articles | 20 — 6 participants |
Back to article view | Back to ger.ct
DDoS 11,5 Tbit pro Sekunde von der Google Cloud ausgehend Dr. Joachim Neudert <neudert@5sl.org> - 2025-09-03 11:33 +0000
Re: DDoS 11,5 Tbit pro Sekunde von der Google Cloud ausgehend Fidel Sebastián Hunrichse-Lara <Fidel-Sebastian_Hunrichse_Lara@b.maus.de> - 2025-09-03 14:54 +0200
Re: DDoS 11,5 Tbit pro Sekunde von der Google Cloud ausgehend Dietz Proepper <dietz.usenet@rotfl.franken.de> - 2025-09-03 18:39 +0200
Re: DDoS 11,5 Tbit pro Sekunde von der Google Cloud ausgehend Dietz Proepper <dietz.usenet@rotfl.franken.de> - 2025-09-03 18:47 +0200
Re: DDoS 11,5 Tbit pro Sekunde von der Google Cloud ausgehend Goetz Schultz <ng.expire1230@goetz.co.uk> - 2025-09-03 19:03 +0100
Re: DDoS 11,5 Tbit pro Sekunde von der Google Cloud ausgehend Dietz Proepper <dietz.usenet@rotfl.franken.de> - 2025-09-03 23:06 +0200
Re: DDoS 11,5 Tbit pro Sekunde von der Google Cloud ausgehend Goetz Schultz <ng.expire1230@goetz.co.uk> - 2025-09-03 22:38 +0100
Re: DDoS 11,5 Tbit pro Sekunde von der Google Cloud ausgehend Dietz Proepper <dietz.usenet@rotfl.franken.de> - 2025-09-04 09:55 +0200
Re: DDoS 11,5 Tbit pro Sekunde von der Google Cloud ausgehend Goetz Schultz <ng.expire1230@goetz.co.uk> - 2025-09-04 10:11 +0100
Re: DDoS 11,5 Tbit pro Sekunde von der Google Cloud ausgehend Dietz Proepper <dietz.usenet@rotfl.franken.de> - 2025-09-04 22:10 +0200
Re: DDoS 11,5 Tbit pro Sekunde von der Google Cloud ausgehend Goetz Schultz <ng.expire1230@goetz.co.uk> - 2025-09-05 08:59 +0100
Re: DDoS 11,5 Tbit pro Sekunde von der Google Cloud ausgehend Dietz Proepper <dietz.usenet@rotfl.franken.de> - 2025-09-05 23:29 +0200
Re: DDoS 11,5 Tbit pro Sekunde von der Google Cloud ausgehend Goetz Schultz <ng.expire1230@goetz.co.uk> - 2025-09-06 13:23 +0100
Re: DDoS 11,5 Tbit pro Sekunde von der Google Cloud ausgehend Dietz Proepper <dietz.usenet@rotfl.franken.de> - 2025-09-07 09:58 +0200
Re: DDoS 11,5 Tbit pro Sekunde von der Google Cloud ausgehend Goetz Schultz <ng.expire1230@goetz.co.uk> - 2025-09-07 11:53 +0100
Re: DDoS 11,5 Tbit pro Sekunde von der Google Cloud ausgehend Dietz Proepper <dietz.usenet@rotfl.franken.de> - 2025-09-07 13:31 +0200
[OT] Re: DDoS 11,5 Tbit pro Sekunde von der Google Cloud ausgehend Walter Brill <WalterBrill@t-online.de> - 2025-09-07 17:26 +0200
Re: [OT] Re: DDoS 11,5 Tbit pro Sekunde von der Google Cloud ausgehend Michael Bode <m.g.bode@web.de> - 2025-09-07 17:37 +0200
Re: [OT] Re: DDoS 11,5 Tbit pro Sekunde von der Google Cloud ausgehend Walter Brill <WalterBrill@t-online.de> - 2025-09-08 14:15 +0200
Re: [OT] Re: DDoS 11,5 Tbit pro Sekunde von der Google Cloud ausgehend Goetz Schultz <ng.expire1230@goetz.co.uk> - 2025-09-07 17:24 +0100
| From | Dr. Joachim Neudert <neudert@5sl.org> |
|---|---|
| Date | 2025-09-03 11:33 +0000 |
| Subject | DDoS 11,5 Tbit pro Sekunde von der Google Cloud ausgehend |
| Message-ID | <1099930$135g4$1@solani.org> |
https://www.heise.de/news/Ueberlastungsattacke-erreicht-11-5-TBit-pro-Sekunde-10630141.html Wo das wohl herkommt? (Mei, Googles KI übt erst noch..) -- please forgive my iPhone typos
[toc] | [next] | [standalone]
| From | Fidel Sebastián Hunrichse-Lara <Fidel-Sebastian_Hunrichse_Lara@b.maus.de> |
|---|---|
| Date | 2025-09-03 14:54 +0200 |
| Message-ID | <1099dpb$15662$1@dont-email.me> |
| In reply to | #646043 |
Salve allerseits, Dr. Joachim Neudert schrieb: > > Mei, Googles KI übt erst noch.. > Nano Banana? Die greift doch gerade Adobe und OpenAI frontal an¹... (´-,-)☕ M.f.G. ___ ¹<https://t3n.de/news/nano-banana-google-bild-ki-adobe-openai-1704324/> -- Diese E-Mail-Adresse wird nur aus nostalgischen Gründen verwendet. Sie wird praktisch nie gelesen. Das MausNet ist nicht tot – es riecht nur etwas komisch... ;-)
[toc] | [prev] | [next] | [standalone]
| From | Dietz Proepper <dietz.usenet@rotfl.franken.de> |
|---|---|
| Date | 2025-09-03 18:39 +0200 |
| Message-ID | <20250903183926.0aa0f8c7.dietz.usenet@rotfl.franken.de> |
| In reply to | #646043 |
Dr. Joachim Neudert <neudert@5sl.org> wrote: > https://www.heise.de/news/Ueberlastungsattacke-erreicht-11-5-TBit-pro-Sekunde-10630141.html > > Wo das wohl herkommt? > > (Mei, Googles KI übt erst noch..) Genau!!111 Die KIkalypse ist da11!!! RETTE SICH WER KANN!!111 AUA. -- Day of judgement, God is calling. On their knees, the war pigs crawling Begging mercy for their sins Satan laughing, spreads his wings (War pigs, Black Sabbath)
[toc] | [prev] | [next] | [standalone]
| From | Dietz Proepper <dietz.usenet@rotfl.franken.de> |
|---|---|
| Date | 2025-09-03 18:47 +0200 |
| Message-ID | <20250903184728.0186bfa6.dietz.usenet@rotfl.franken.de> |
| In reply to | #646069 |
Dietz Proepper <dietz.usenet@rotfl.franken.de> wrote:
> Dr. Joachim Neudert <neudert@5sl.org> wrote:
>
> > https://www.heise.de/news/Ueberlastungsattacke-erreicht-11-5-TBit-pro-Sekunde-10630141.html
> >
> > Wo das wohl herkommt?
> >
> > (Mei, Googles KI übt erst noch..)
>
> Genau!!111 Die KIkalypse ist da11!!! RETTE SICH WER KANN!!111
>
> AUA.
Haha, der Zauber hat sage und schreibe 35 SEKUNDEN gedauert. Ich
merke schon. Die Welt geht gerade unter. Oder so.
Achja, falls du es noch nicht mitbekommen hast - Cloudflares Geschäfts-
modell ist u.a., Kunden mittels FUD, FUD, FUD your boat an sich zu
binden ("Wir verteidigen Sie gegen böhßes DDoS." Jeder, der auch nur
ein Gran Ahnung von der Materie hat *WEIß*, dass "DDos-Schutz" in etwa
so sinnvoll wie "Endpoint Secruity"(sic!) ist.)
Meine erste Vermutung wäre bei den Rahmendaten weniger DDoS, sondern
vielmehr eine kurzfristige Fehlkonfiguration von $irgendwas.
Aber klar. Mediziner wissen das alles viel besser als ahnungslose
IT-Experten. Und kennen (natürlich) Hanlon's Razor nicht.
AUA².
--
Day of judgement, God is calling. On their knees, the war pigs crawling
Begging mercy for their sins Satan laughing, spreads his wings
(War pigs, Black Sabbath)
[toc] | [prev] | [next] | [standalone]
| From | Goetz Schultz <ng.expire1230@goetz.co.uk> |
|---|---|
| Date | 2025-09-03 19:03 +0100 |
| Message-ID | <6abdd326-d5fd-49e3-9c2c-be8702dd2e48@news.goetz.co.uk> |
| In reply to | #646070 |
On 03/09/2025 17:47, Dietz Proepper wrote:
> Dietz Proepper <dietz.usenet@rotfl.franken.de> wrote:
>
>> Dr. Joachim Neudert <neudert@5sl.org> wrote:
>>
>>> https://www.heise.de/news/Ueberlastungsattacke-erreicht-11-5-TBit-pro-Sekunde-10630141.html
>>>
>>> Wo das wohl herkommt?
>>>
>>> (Mei, Googles KI übt erst noch..)
>>
>> Genau!!111 Die KIkalypse ist da11!!! RETTE SICH WER KANN!!111
>>
>> AUA.
>
> Haha, der Zauber hat sage und schreibe 35 SEKUNDEN gedauert. Ich
> merke schon. Die Welt geht gerade unter. Oder so.
>
> Achja, falls du es noch nicht mitbekommen hast - Cloudflares Geschäfts-
> modell ist u.a., Kunden mittels FUD, FUD, FUD your boat an sich zu
> binden ("Wir verteidigen Sie gegen böhßes DDoS." Jeder, der auch nur
> ein Gran Ahnung von der Materie hat *WEIß*, dass "DDos-Schutz" in etwa
> so sinnvoll wie "Endpoint Secruity"(sic!) ist.)
>
Cloudflare hat gerade ganz andere Probleme. Salesforce...... <snigger>
> Meine erste Vermutung wäre bei den Rahmendaten weniger DDoS, sondern
> vielmehr eine kurzfristige Fehlkonfiguration von $irgendwas.
>
> Aber klar. Mediziner wissen das alles viel besser als ahnungslose
> IT-Experten. Und kennen (natürlich) Hanlon's Razor nicht.
>
> AUA².
>
--
Cheers,
G.
Quis custodiet ipsos custodes?
---------------------------->8------------------------------
/"\
\ / ASCII Ribbon Campaign
X against HTML e-mail
/ \
---------------------------->8------------------------------
[toc] | [prev] | [next] | [standalone]
| From | Dietz Proepper <dietz.usenet@rotfl.franken.de> |
|---|---|
| Date | 2025-09-03 23:06 +0200 |
| Message-ID | <20250903230601.0de60013.dietz.usenet@rotfl.franken.de> |
| In reply to | #646076 |
Goetz Schultz <ng.expire1230@goetz.co.uk> wrote:
> On 03/09/2025 17:47, Dietz Proepper wrote:
> > Dietz Proepper <dietz.usenet@rotfl.franken.de> wrote:
> >
> >> Dr. Joachim Neudert <neudert@5sl.org> wrote:
> >>
> >>> https://www.heise.de/news/Ueberlastungsattacke-erreicht-11-5-TBit-pro-Sekunde-10630141.html
> >>>
> >>> Wo das wohl herkommt?
> >>>
> >>> (Mei, Googles KI übt erst noch..)
> >>
> >> Genau!!111 Die KIkalypse ist da11!!! RETTE SICH WER KANN!!111
> >>
> >> AUA.
> >
> > Haha, der Zauber hat sage und schreibe 35 SEKUNDEN gedauert. Ich
> > merke schon. Die Welt geht gerade unter. Oder so.
> >
> > Achja, falls du es noch nicht mitbekommen hast - Cloudflares
> > Geschäfts- modell ist u.a., Kunden mittels FUD, FUD, FUD your boat
> > an sich zu binden ("Wir verteidigen Sie gegen böhßes DDoS." Jeder,
> > der auch nur ein Gran Ahnung von der Materie hat *WEIß*, dass
> > "DDos-Schutz" in etwa so sinnvoll wie "Endpoint Secruity"(sic!)
> > ist.)
>
> Cloudflare hat gerade ganz andere Probleme. Salesforce...... <snigger>
<trocken> HatHatHat </>
Ich muss allerdings zugeben, dass ich dergleichen inzwischen nur noch
kursorisch verfolge. Gefühlt bekommt die letzten Jahre *jeder* der
großen, ach-so-seriösen IT-Läden massiv sein Fett ab. Ich mein', wir
wissen ja, wie die typischen Qualitätsstandards bei big playern (Läden
wie M$, verdorbenes Obst und der ganze Rest) aussehen und was
irgendwelche Wannabe-IT-Spezialisten davon verstanden haben.
Und surprise, surprise, auch 23 Gallonen WAF- und 42 Gallonen Endpoint-
Schlangenöl pro Box beseitigen das grundsätzliche Problem
("Komplexität") nicht. Sogar wenn man alle BSI- und $sonstwas-
Checklisten ganz arg sorgfältig in 127fachem Durchschlag
ausgefüllt, reviewed, eingereicht und abgeheftet hat - die böhsen
HaXXors (*natürlitsch* staatlich gesponsort, jemand unter dem Level
*kann* ja offensichtliche Fuckups gar-nie-nicht erkennen) machen einem
die Boxn *trotzdem* auf und dies, obwohl sie das nicht *dürfen*.
Ein Drama. Oder schon ein Teufelskreis?
Aber jetzt zu was anderem. Sei *bitte* vorsichtig, mit wem Du sprichst!
Nicht dass bei Dir das iDocerl Feindkontakt oder, noch viel schlimmer,
Missachtung seiner absoluten Autorität in allen Bereichen des Lebens(tm)
erkennt(tm). Das ist, musst Du wissen, eine seiner vielfältigen
Superkräfte.
Zudem leidet er an einem, bei Beutegermanenblagen häufig vorhandenem,
untherapiertem Minderwertigkeitskomplex der dazu führt, dass er neben
sich niemanden ertragen kann, der seine Größe nicht anerkennt und ihn
regelmäßig schallend auslacht.
Eigentlich tut er mir leid. Naja. Manchmal.
--
Day of judgement, God is calling. On their knees, the war pigs crawling
Begging mercy for their sins Satan laughing, spreads his wings
(War pigs, Black Sabbath)
[toc] | [prev] | [next] | [standalone]
| From | Goetz Schultz <ng.expire1230@goetz.co.uk> |
|---|---|
| Date | 2025-09-03 22:38 +0100 |
| Message-ID | <3cd566a9-6a1d-40f8-817b-d4743c99c33b@news.goetz.co.uk> |
| In reply to | #646087 |
On 03/09/2025 22:06, Dietz Proepper wrote:
> Goetz Schultz <ng.expire1230@goetz.co.uk> wrote:
>
>> On 03/09/2025 17:47, Dietz Proepper wrote:
>>> Dietz Proepper <dietz.usenet@rotfl.franken.de> wrote:
>>>
>>>> Dr. Joachim Neudert <neudert@5sl.org> wrote:
>>>>
>>>>> https://www.heise.de/news/Ueberlastungsattacke-erreicht-11-5-TBit-pro-Sekunde-10630141.html
>>>>>
>>>>> Wo das wohl herkommt?
>>>>>
>>>>> (Mei, Googles KI übt erst noch..)
>>>>
>>>> Genau!!111 Die KIkalypse ist da11!!! RETTE SICH WER KANN!!111
>>>>
>>>> AUA.
>>>
>>> Haha, der Zauber hat sage und schreibe 35 SEKUNDEN gedauert. Ich
>>> merke schon. Die Welt geht gerade unter. Oder so.
>>>
>>> Achja, falls du es noch nicht mitbekommen hast - Cloudflares
>>> Geschäfts- modell ist u.a., Kunden mittels FUD, FUD, FUD your boat
>>> an sich zu binden ("Wir verteidigen Sie gegen böhßes DDoS." Jeder,
>>> der auch nur ein Gran Ahnung von der Materie hat *WEIß*, dass
>>> "DDos-Schutz" in etwa so sinnvoll wie "Endpoint Secruity"(sic!)
>>> ist.)
>>
>> Cloudflare hat gerade ganz andere Probleme. Salesforce...... <snigger>
>
> <trocken> HatHatHat </>
>
> Ich muss allerdings zugeben, dass ich dergleichen inzwischen nur noch
> kursorisch verfolge. Gefühlt bekommt die letzten Jahre *jeder* der
> großen, ach-so-seriösen IT-Läden massiv sein Fett ab. Ich mein', wir
> wissen ja, wie die typischen Qualitätsstandards bei big playern (Läden
> wie M$, verdorbenes Obst und der ganze Rest) aussehen und was
> irgendwelche Wannabe-IT-Spezialisten davon verstanden haben.
>
> Und surprise, surprise, auch 23 Gallonen WAF- und 42 Gallonen Endpoint-
> Schlangenöl pro Box beseitigen das grundsätzliche Problem
> ("Komplexität") nicht. Sogar wenn man alle BSI- und $sonstwas-
> Checklisten ganz arg sorgfältig in 127fachem Durchschlag
> ausgefüllt, reviewed, eingereicht und abgeheftet hat - die böhsen
> HaXXors (*natürlitsch* staatlich gesponsort, jemand unter dem Level
> *kann* ja offensichtliche Fuckups gar-nie-nicht erkennen) machen einem
> die Boxn *trotzdem* auf und dies, obwohl sie das nicht *dürfen*.
>
> Ein Drama. Oder schon ein Teufelskreis?
>
Nö, Salesforce. Hat Google erwischt und Zscaler .....
Ich hatte heute ein längeres Gespräch mit unserem Head of SW Dev. .
Mittlerweile sieht er auch, das es gut ist, das wir Atlassians Dreck in
die Tonne getreten haben. Das Problem liegt beim Kunden der eine
eierlegende Wollmilchsau will und sich dann wundert das es nicht laufen
kann oder blind ist.
[..]
--
Cheers,
G.
Quis custodiet ipsos custodes?
---------------------------->8------------------------------
/"\
\ / ASCII Ribbon Campaign
X against HTML e-mail
/ \
---------------------------->8------------------------------
[toc] | [prev] | [next] | [standalone]
| From | Dietz Proepper <dietz.usenet@rotfl.franken.de> |
|---|---|
| Date | 2025-09-04 09:55 +0200 |
| Message-ID | <20250904095539.7f1e7131.dietz.usenet@rotfl.franken.de> |
| In reply to | #646093 |
Goetz Schultz <ng.expire1230@goetz.co.uk> wrote:
> On 03/09/2025 22:06, Dietz Proepper wrote:
> > Goetz Schultz <ng.expire1230@goetz.co.uk> wrote:
> >
> >> On 03/09/2025 17:47, Dietz Proepper wrote:
> >>> Dietz Proepper <dietz.usenet@rotfl.franken.de> wrote:
> >>>
> >>>> Dr. Joachim Neudert <neudert@5sl.org> wrote:
> >>>>
> >>>>> https://www.heise.de/news/Ueberlastungsattacke-erreicht-11-5-TBit-pro-Sekunde-10630141.html
> >>>>>
> >>>>> Wo das wohl herkommt?
> >>>>>
> >>>>> (Mei, Googles KI übt erst noch..)
> >>>>
> >>>> Genau!!111 Die KIkalypse ist da11!!! RETTE SICH WER KANN!!111
> >>>>
> >>>> AUA.
> >>>
> >>> Haha, der Zauber hat sage und schreibe 35 SEKUNDEN gedauert. Ich
> >>> merke schon. Die Welt geht gerade unter. Oder so.
> >>>
> >>> Achja, falls du es noch nicht mitbekommen hast - Cloudflares
> >>> Geschäfts- modell ist u.a., Kunden mittels FUD, FUD, FUD your boat
> >>> an sich zu binden ("Wir verteidigen Sie gegen böhßes DDoS." Jeder,
> >>> der auch nur ein Gran Ahnung von der Materie hat *WEIß*, dass
> >>> "DDos-Schutz" in etwa so sinnvoll wie "Endpoint Secruity"(sic!)
> >>> ist.)
> >>
> >> Cloudflare hat gerade ganz andere Probleme. Salesforce......
> >> <snigger>
> >
> > <trocken> HatHatHat </>
> >
> > Ich muss allerdings zugeben, dass ich dergleichen inzwischen nur
> > noch kursorisch verfolge. Gefühlt bekommt die letzten Jahre *jeder*
> > der großen, ach-so-seriösen IT-Läden massiv sein Fett ab. Ich
> > mein', wir wissen ja, wie die typischen Qualitätsstandards bei big
> > playern (Läden wie M$, verdorbenes Obst und der ganze Rest)
> > aussehen und was irgendwelche Wannabe-IT-Spezialisten davon
> > verstanden haben.
> >
> > Und surprise, surprise, auch 23 Gallonen WAF- und 42 Gallonen
> > Endpoint- Schlangenöl pro Box beseitigen das grundsätzliche Problem
> > ("Komplexität") nicht. Sogar wenn man alle BSI- und $sonstwas-
> > Checklisten ganz arg sorgfältig in 127fachem Durchschlag
> > ausgefüllt, reviewed, eingereicht und abgeheftet hat - die böhsen
> > HaXXors (*natürlitsch* staatlich gesponsort, jemand unter dem Level
> > *kann* ja offensichtliche Fuckups gar-nie-nicht erkennen) machen
> > einem die Boxn *trotzdem* auf und dies, obwohl sie das nicht
> > *dürfen*.
> >
> > Ein Drama. Oder schon ein Teufelskreis?
>
> Nö, Salesforce. Hat Google erwischt und Zscaler .....
Soweit hatte ich's noch mitgehört.
> Ich hatte heute ein längeres Gespräch mit unserem Head of SW Dev. .
> Mittlerweile sieht er auch, das es gut ist, das wir Atlassians Dreck
> in die Tonne getreten haben.
Was nehmt Ihr als Ersatz? Abgesehen davon - in momentanem Hauptprojekt
verwenden sie Atlassian - natürlich selber gehostet. In einem VPN und
in *dem* Fall mit einem Sanitizer ("WAF") davor, weil die verwendete
Version aus der Wartung ist. Naja, $kunde (public) weiß relativ gut was
er tut, man nimmt Risiken ernst und die "Geschäftsführung" *hört* auf
die Infraleute.
> Das Problem liegt beim Kunden der eine
> eierlegende Wollmilchsau will und sich dann wundert das es nicht
> laufen kann oder blind ist.
Bzw. man hängt halt hochkomplexe Systeme ins offene Internet und ist
dann baff erstaunt, was die Folgen sind.
VPNs sind natürlich auch kein Allheilmittel, nur kann man den
Gefährderkreis von "weltweit" auf ein paar 100-1000 Hanseln, die man
noch dazu identifizieren kann, einschränken.
Und natürlich jammern die 'leet "Creators" (man nennt sich nicht mehr
"Softwareentwickler", wenn man was auf sich hält musste ich lernen)
dass das ja so 2000er sei.
Herr Ober-PL wies vor ein paar Monaten in einer mail an alle ganz
lakonisch darauf hin, dass man Reisende natürlich nicht behindern
wolle, bei nächstem $vorfall (ein 'leeter "Hyperscaler" hatte sich
doch tatsächlich eine Backdoor gebastelt und dies noch dazu so deppert,
dass es auffiel) allerdings die Abreise von ihrer Seite aus betreiben
würde.
--
Day of judgement, God is calling. On their knees, the war pigs crawling
Begging mercy for their sins Satan laughing, spreads his wings
(War pigs, Black Sabbath)
[toc] | [prev] | [next] | [standalone]
| From | Goetz Schultz <ng.expire1230@goetz.co.uk> |
|---|---|
| Date | 2025-09-04 10:11 +0100 |
| Message-ID | <e72a9fa0-ef2c-4ec5-9756-c757fd261b8a@news.goetz.co.uk> |
| In reply to | #646101 |
On 04/09/2025 08:55, Dietz Proepper wrote:
> Goetz Schultz <ng.expire1230@goetz.co.uk> wrote:
>
>> On 03/09/2025 22:06, Dietz Proepper wrote:
>>> Goetz Schultz <ng.expire1230@goetz.co.uk> wrote:
[..Salesforce fuckup ...]
>> Ich hatte heute ein längeres Gespräch mit unserem Head of SW Dev. .
>> Mittlerweile sieht er auch, das es gut ist, das wir Atlassians Dreck
>> in die Tonne getreten haben.
>
> Was nehmt Ihr als Ersatz? Abgesehen davon - in momentanem Hauptprojekt
> verwenden sie Atlassian - natürlich selber gehostet. In einem VPN und
> in *dem* Fall mit einem Sanitizer ("WAF") davor, weil die verwendete
> Version aus der Wartung ist. Naja, $kunde (public) weiß relativ gut was
> er tut, man nimmt Risiken ernst und die "Geschäftsführung" *hört* auf
> die Infraleute.
Atlassian selber gehostet? Wo kriegen die Ihre Patches her? Atlassian
hat doch jetzt alles in ihrer tollen Cloud.
- OpenProject (Jira)
- Boockstack (Confluence)
- Gitlab (Bamboo)
>> Das Problem liegt beim Kunden der eine
>> eierlegende Wollmilchsau will und sich dann wundert das es nicht
>> laufen kann oder blind ist.
>
> Bzw. man hängt halt hochkomplexe Systeme ins offene Internet und ist
> dann baff erstaunt, was die Folgen sind.
DBA's müssen ja auch direkt an die DB kommen.
> VPNs sind natürlich auch kein Allheilmittel, nur kann man den
> Gefährderkreis von "weltweit" auf ein paar 100-1000 Hanseln, die man
> noch dazu identifizieren kann, einschränken.
Was wiederum Angriffsvektoren minimiert. Und wenn man den
"zwielichtigen" Nutzern ein abgeschottetes Gerät an die Hand gibt, dann
noch mehr. Evtl ein wenig mehr Arbeit aber man kann das gut in den Griff
bekommen, zB nur indirekter Schreibzugriff auf Ressourcen (RO-mount und
ein beschreibbares Verzeichniss, kann man automatisch auswerten und
weiterverarbeiten). Muss man alles nur wollen.
> Und natürlich jammern die 'leet "Creators" (man nennt sich nicht mehr
> "Softwareentwickler", wenn man was auf sich hält musste ich lernen)
> dass das ja so 2000er sei.
"1337" bitte .... :-D
> Herr Ober-PL wies vor ein paar Monaten in einer mail an alle ganz
> lakonisch darauf hin, dass man Reisende natürlich nicht behindern
> wolle, bei nächstem $vorfall (ein 'leeter "Hyperscaler" hatte sich
> doch tatsächlich eine Backdoor gebastelt und dies noch dazu so deppert,
> dass es auffiel) allerdings die Abreise von ihrer Seite aus betreiben
> würde.
>
SSH mit Chroot ist der nächste Schritt ....lol..... play stupid games,
win stupid prizes. Einige wollen es so.
--
Cheers,
G.
Quis custodiet ipsos custodes?
---------------------------->8------------------------------
/"\
\ / ASCII Ribbon Campaign
X against HTML e-mail
/ \
---------------------------->8------------------------------
[toc] | [prev] | [next] | [standalone]
| From | Dietz Proepper <dietz.usenet@rotfl.franken.de> |
|---|---|
| Date | 2025-09-04 22:10 +0200 |
| Message-ID | <20250904221017.7502eb11.dietz.usenet@rotfl.franken.de> |
| In reply to | #646105 |
Goetz Schultz <ng.expire1230@goetz.co.uk> wrote:
> On 04/09/2025 08:55, Dietz Proepper wrote:
> > Goetz Schultz <ng.expire1230@goetz.co.uk> wrote:
> >
> >> On 03/09/2025 22:06, Dietz Proepper wrote:
> >>> Goetz Schultz <ng.expire1230@goetz.co.uk> wrote:
>
> [..Salesforce fuckup ...]
>
> >> Ich hatte heute ein längeres Gespräch mit unserem Head of SW Dev. .
> >> Mittlerweile sieht er auch, das es gut ist, das wir Atlassians
> >> Dreck in die Tonne getreten haben.
> >
> > Was nehmt Ihr als Ersatz? Abgesehen davon - in momentanem
> > Hauptprojekt verwenden sie Atlassian - natürlich selber gehostet.
> > In einem VPN und in *dem* Fall mit einem Sanitizer ("WAF") davor,
> > weil die verwendete Version aus der Wartung ist. Naja, $kunde
> > (public) weiß relativ gut was er tut, man nimmt Risiken ernst und
> > die "Geschäftsführung" *hört* auf die Infraleute.
>
> Atlassian selber gehostet? Wo kriegen die Ihre Patches her? Atlassian
> hat doch jetzt alles in ihrer tollen Cloud.
Wenn ich's richtig gelesen habe gibt es noch $irgendwelche
Möglichkeiten, das Ganze on-prem zu betreiben & im aktuellen Projekt
bin ich Dev und Architekt, d.h. die schmutzigen Details nur indirekt.
Wie oben geschrieben, VPN+ein wenig Voodoo.
> - OpenProject (Jira)
Ich erinnere mich :-). Könnte sein, dass ich Dich da irgendwann nochmal
mit ein paar Fragen nerve.
> - Boockstack (Confluence)
Sagt mir nix. Aber Wikis gibt's wie Sand am Meer.
> - Gitlab (Bamboo)
Ohnehin besser, imo.
Habt Ihr das so hin bekommen, dass eine ähnliche Integration wie bei
Atlassian raus kommt?
> >> Das Problem liegt beim Kunden der eine
> >> eierlegende Wollmilchsau will und sich dann wundert das es nicht
> >> laufen kann oder blind ist.
> >
> > Bzw. man hängt halt hochkomplexe Systeme ins offene Internet und ist
> > dann baff erstaunt, was die Folgen sind.
>
> DBA's müssen ja auch direkt an die DB kommen.
Klar. Was kann schon passieren, wenn phpMyAdmin weltweit erreichbar
ist. Die KI hat das doch empfohlen!!111
> > VPNs sind natürlich auch kein Allheilmittel, nur kann man den
> > Gefährderkreis von "weltweit" auf ein paar 100-1000 Hanseln, die man
> > noch dazu identifizieren kann, einschränken.
>
> Was wiederum Angriffsvektoren minimiert. Und wenn man den
> "zwielichtigen" Nutzern ein abgeschottetes Gerät an die Hand gibt,
> dann noch mehr. Evtl ein wenig mehr Arbeit aber man kann das gut in
> den Griff bekommen, zB nur indirekter Schreibzugriff auf Ressourcen
> (RO-mount und ein beschreibbares Verzeichniss, kann man automatisch
> auswerten und weiterverarbeiten). Muss man alles nur wollen.
In der Tat. Und sagen wir es so - wenn man als Dev Spielchen spielen
will, dann ...
> > Und natürlich jammern die 'leet "Creators" (man nennt sich nicht
> > mehr "Softwareentwickler", wenn man was auf sich hält musste ich
> > lernen) dass das ja so 2000er sei.
>
> "1337" bitte .... :-D
WOHER KENNST DU DAS GEHEIME PASSWORT?!
> > Herr Ober-PL wies vor ein paar Monaten in einer mail an alle ganz
> > lakonisch darauf hin, dass man Reisende natürlich nicht behindern
> > wolle, bei nächstem $vorfall (ein 'leeter "Hyperscaler" hatte sich
> > doch tatsächlich eine Backdoor gebastelt und dies noch dazu so
> > deppert, dass es auffiel) allerdings die Abreise von ihrer Seite
> > aus betreiben würde.
>
> SSH mit Chroot ist der nächste Schritt ....lol..... play stupid
> games, win stupid prizes. Einige wollen es so.
Thompson, Ken, Reflections on Trusting Trust kennst Du sicherlich ;-).
--
Day of judgement, God is calling. On their knees, the war pigs crawling
Begging mercy for their sins Satan laughing, spreads his wings
(War pigs, Black Sabbath)
[toc] | [prev] | [next] | [standalone]
| From | Goetz Schultz <ng.expire1230@goetz.co.uk> |
|---|---|
| Date | 2025-09-05 08:59 +0100 |
| Message-ID | <d61798e5-649d-4f0d-964a-ab56d4811165@news.goetz.co.uk> |
| In reply to | #646195 |
On 04/09/2025 21:10, Dietz Proepper wrote:
> Goetz Schultz <ng.expire1230@goetz.co.uk> wrote:
>
>> On 04/09/2025 08:55, Dietz Proepper wrote:
>>> Goetz Schultz <ng.expire1230@goetz.co.uk> wrote:
>>>
>>>> On 03/09/2025 22:06, Dietz Proepper wrote:
>>>>> Goetz Schultz <ng.expire1230@goetz.co.uk> wrote:
>>
>> [..Salesforce fuckup ...]
>>
>>>> Ich hatte heute ein längeres Gespräch mit unserem Head of SW Dev. .
>>>> Mittlerweile sieht er auch, das es gut ist, das wir Atlassians
>>>> Dreck in die Tonne getreten haben.
>>>
>>> Was nehmt Ihr als Ersatz? Abgesehen davon - in momentanem
>>> Hauptprojekt verwenden sie Atlassian - natürlich selber gehostet.
>>> In einem VPN und in *dem* Fall mit einem Sanitizer ("WAF") davor,
>>> weil die verwendete Version aus der Wartung ist. Naja, $kunde
>>> (public) weiß relativ gut was er tut, man nimmt Risiken ernst und
>>> die "Geschäftsführung" *hört* auf die Infraleute.
>>
>> Atlassian selber gehostet? Wo kriegen die Ihre Patches her? Atlassian
>> hat doch jetzt alles in ihrer tollen Cloud.
>
> Wenn ich's richtig gelesen habe gibt es noch $irgendwelche
> Möglichkeiten, das Ganze on-prem zu betreiben & im aktuellen Projekt
> bin ich Dev und Architekt, d.h. die schmutzigen Details nur indirekt.
>
> Wie oben geschrieben, VPN+ein wenig Voodoo.
>
Ist irrelevnt für uns. Atlassian ist aussen vor - endgültig. IMO nur
eine Frage der Zeit bevor es da richtif kanllt wie bei Saleforce.
>> - OpenProject (Jira)
>
> Ich erinnere mich :-). Könnte sein, dass ich Dich da irgendwann nochmal
> mit ein paar Fragen nerve.
>
Sciher. Manus manum lavat .....
>> - Boockstack (Confluence)
>
> Sagt mir nix. Aber Wikis gibt's wie Sand am Meer.
Ist kin WIKI im Sinn von Media-Wiki. Ist wie ein Buchreagl organisiert
und hat 2FA. Gibt genug die das nicht haben, einen WYSIWYG-Editor
(alternativ HTML) und feingesteuerte Benutzerrechte.
>> - Gitlab (Bamboo)
>
> Ohnehin besser, imo.
Yep. Hat lange gedauert mich weg von svn zu kriegen.
> Habt Ihr das so hin bekommen, dass eine ähnliche Integration wie bei
> Atlassian raus kommt?
>
Nein, weiss nicht ob das geht - aber für uns[TM] egal, weil ich ein Veto
dazu hätte.
>>>> Das Problem liegt beim Kunden der eine
>>>> eierlegende Wollmilchsau will und sich dann wundert das es nicht
>>>> laufen kann oder blind ist.
>>>
>>> Bzw. man hängt halt hochkomplexe Systeme ins offene Internet und ist
>>> dann baff erstaunt, was die Folgen sind.
>>
>> DBA's müssen ja auch direkt an die DB kommen.
>
> Klar. Was kann schon passieren, wenn phpMyAdmin weltweit erreichbar
> ist. Die KI hat das doch empfohlen!!111
>
und .env, .config ......
>>> VPNs sind natürlich auch kein Allheilmittel, nur kann man den
>>> Gefährderkreis von "weltweit" auf ein paar 100-1000 Hanseln, die man
>>> noch dazu identifizieren kann, einschränken.
>>
>> Was wiederum Angriffsvektoren minimiert. Und wenn man den
>> "zwielichtigen" Nutzern ein abgeschottetes Gerät an die Hand gibt,
>> dann noch mehr. Evtl ein wenig mehr Arbeit aber man kann das gut in
>> den Griff bekommen, zB nur indirekter Schreibzugriff auf Ressourcen
>> (RO-mount und ein beschreibbares Verzeichniss, kann man automatisch
>> auswerten und weiterverarbeiten). Muss man alles nur wollen.
>
> In der Tat. Und sagen wir es so - wenn man als Dev Spielchen spielen
> will, dann ...
Was ich sage: play stupid games .......
>>> Und natürlich jammern die 'leet "Creators" (man nennt sich nicht
>>> mehr "Softwareentwickler", wenn man was auf sich hält musste ich
>>> lernen) dass das ja so 2000er sei.
>>
>> "1337" bitte .... :-D
>
> WOHER KENNST DU DAS GEHEIME PASSWORT?!
>
Ich kenne auch das Handzeichen!!Ha!!!!11ELF
>>> Herr Ober-PL wies vor ein paar Monaten in einer mail an alle ganz
>>> lakonisch darauf hin, dass man Reisende natürlich nicht behindern
>>> wolle, bei nächstem $vorfall (ein 'leeter "Hyperscaler" hatte sich
>>> doch tatsächlich eine Backdoor gebastelt und dies noch dazu so
>>> deppert, dass es auffiel) allerdings die Abreise von ihrer Seite
>>> aus betreiben würde.
>>
>> SSH mit Chroot ist der nächste Schritt ....lol..... play stupid
>> games, win stupid prizes. Einige wollen es so.
>
> Thompson, Ken, Reflections on Trusting Trust kennst Du sicherlich ;-).
>
Ja, da ist schon was bei. Deshalb setze ich auf OpenSource. Je nach
Thema werden da Fehler von Codern eher gefunden als bei ClosedSource.
Gerade im Bereich SEC sollte es offen sein. Bei komplexer Software bin
ich raus - deshalb MUSS ich anderen Trauen. Bei Anwendern sieht das ganz
anders aus.
--
Cheers,
G.
Quis custodiet ipsos custodes?
---------------------------->8------------------------------
/"\
\ / ASCII Ribbon Campaign
X against HTML e-mail
/ \
---------------------------->8------------------------------
[toc] | [prev] | [next] | [standalone]
| From | Dietz Proepper <dietz.usenet@rotfl.franken.de> |
|---|---|
| Date | 2025-09-05 23:29 +0200 |
| Message-ID | <20250905232959.41540069.dietz.usenet@rotfl.franken.de> |
| In reply to | #646223 |
Goetz Schultz <ng.expire1230@goetz.co.uk> wrote: > On 04/09/2025 21:10, Dietz Proepper wrote: > > Goetz Schultz <ng.expire1230@goetz.co.uk> wrote: > >> Atlassian selber gehostet? Wo kriegen die Ihre Patches her? > >> Atlassian hat doch jetzt alles in ihrer tollen Cloud. > > > > Wenn ich's richtig gelesen habe gibt es noch $irgendwelche > > Möglichkeiten, das Ganze on-prem zu betreiben & im aktuellen Projekt > > bin ich Dev und Architekt, d.h. die schmutzigen Details nur > > indirekt. > > > > Wie oben geschrieben, VPN+ein wenig Voodoo. > > Ist irrelevnt für uns. Atlassian ist aussen vor - endgültig. IMO nur > eine Frage der Zeit bevor es da richtif kanllt wie bei Saleforce. "VPN" ist zwar kein Allheilmittel, aber auch $opensource ist nicht automagisch "sicher". Ich persönlich halte es nachwievor für eine sehr gute Idee, Angriffsflächen einzuschränken. > > >> - OpenProject (Jira) > > > > Ich erinnere mich :-). Könnte sein, dass ich Dich da irgendwann > > nochmal mit ein paar Fragen nerve. > > Sciher. Manus manum lavat ..... ;-). > > >> - Boockstack (Confluence) > > > > Sagt mir nix. Aber Wikis gibt's wie Sand am Meer. > > Ist kin WIKI im Sinn von Media-Wiki. Ist wie ein Buchreagl > organisiert und hat 2FA. Gibt genug die das nicht haben, einen > WYSIWYG-Editor (alternativ HTML) und feingesteuerte Benutzerrechte. Muss ich mir anschauen. > >> - Gitlab (Bamboo) > > > > Ohnehin besser, imo. > > Yep. Hat lange gedauert mich weg von svn zu kriegen. Naja, alleine die Möglichkeit, mal zwei Wochen detached zu arbyten und dann mit erträglichen Schmerzen zu syncen ... > > Habt Ihr das so hin bekommen, dass eine ähnliche Integration wie bei > > Atlassian raus kommt? > > > > Nein, weiss nicht ob das geht - aber für uns[TM] egal, weil ich ein > Veto dazu hätte. Oh, ich finde es schon recht nützlich, wenn ich ein Ticket einfach mit den Artefakten aus der CI und dem Repo verknüpfen kann. Die Integration ist für mich einer der wesentlicheren selling points des Atlassian-Stacks. > >> DBA's müssen ja auch direkt an die DB kommen. > > > > Klar. Was kann schon passieren, wenn phpMyAdmin weltweit erreichbar > > ist. Die KI hat das doch empfohlen!!111 > > und .env, .config ...... Aber das liegt doch unter /secret °. > >> "1337" bitte .... :-D > > > > WOHER KENNST DU DAS GEHEIME PASSWORT?! > > Ich kenne auch das Handzeichen!!Ha!!!!11ELF <Kragenmikro> ZUGRIFF! ZUGRIFF! ZUGRIFF! </> > > Thompson, Ken, Reflections on Trusting Trust kennst Du sicherlich > > ;-). > > Ja, da ist schon was bei. Deshalb setze ich auf OpenSource. Gnrf. Ken meint *eigentlich* was anderes ;-). > Je nach > Thema werden da Fehler von Codern eher gefunden als bei ClosedSource. Das ist eher eine Sache der Kultur. Was nutzt ein "wohlwollendes code review"? Genau, garnüscht! Davon auszugehen, dass $kollegender schon aufgepasst hat ist eine richtig dämliche Idee! Ein guter Reviewer geht davon aus, dass der Commiter gerade von den Nordkoreanern umgedreht wurde und subtilen Blödsinn macht! Das ist natürlich nicht billig und bspw. Farbänderungen im Frontend sind sicher was anderes als Änderungen an der oauth-Config. Man braucht aber halt ein mindset, das den meisten Codern doch eher fremd ist. Und ein Damagement, das versteht, dass Qualität nicht for free ist. > Gerade im Bereich SEC sollte es offen sein. Ist ein erster Schritt, aber nicht das Allheilmittel. > Bei komplexer Software bin ich raus - deshalb MUSS ich anderen Trauen. Naja, Live-Verhaltensanalyse, Isolation, blast radius-Optimierung etc. ist wirklich kein Hexenwerk, wenn auch nicht ganz billig. > Bei Anwendern sieht das ganz anders aus. Anwender bezahlen Typen wie Dich und mich dafür, dass sie sich über manche Sachen eben *nicht* den Kopf zerbrechen müssen. Oder prüfst Du bei einem Neuwagen, ob alle Bremsen richtig montiert sind und der Benzintank kein Leck aufweist? -- Day of judgement, God is calling. On their knees, the war pigs crawling Begging mercy for their sins Satan laughing, spreads his wings (War pigs, Black Sabbath)
[toc] | [prev] | [next] | [standalone]
| From | Goetz Schultz <ng.expire1230@goetz.co.uk> |
|---|---|
| Date | 2025-09-06 13:23 +0100 |
| Message-ID | <45de73e9-04be-423b-acff-8c06ed15d2f8@news.goetz.co.uk> |
| In reply to | #646276 |
On 05/09/2025 22:29, Dietz Proepper wrote:
> Goetz Schultz <ng.expire1230@goetz.co.uk> wrote:
>
>> On 04/09/2025 21:10, Dietz Proepper wrote:
>>> Goetz Schultz <ng.expire1230@goetz.co.uk> wrote:
>>>> Atlassian selber gehostet? Wo kriegen die Ihre Patches her?
>>>> Atlassian hat doch jetzt alles in ihrer tollen Cloud.
>>>
>>> Wenn ich's richtig gelesen habe gibt es noch $irgendwelche
>>> Möglichkeiten, das Ganze on-prem zu betreiben & im aktuellen Projekt
>>> bin ich Dev und Architekt, d.h. die schmutzigen Details nur
>>> indirekt.
>>>
>>> Wie oben geschrieben, VPN+ein wenig Voodoo.
>>
>> Ist irrelevnt für uns. Atlassian ist aussen vor - endgültig. IMO nur
>> eine Frage der Zeit bevor es da richtif kanllt wie bei Saleforce.
>
> "VPN" ist zwar kein Allheilmittel, aber auch $opensource ist nicht
> automagisch "sicher". Ich persönlich halte es nachwievor für eine sehr
> gute Idee, Angriffsflächen einzuschränken.
>
OSS ist nicht bei default sicher - ACK.
Und wenn kein Atlassin da ist (ob mit oder ohne VPN), dann kann man das
nicht ausnutzen.
>>
[ .... ]
>>
>>>> - Boockstack (Confluence)
>>>
>>> Sagt mir nix. Aber Wikis gibt's wie Sand am Meer.
>>
>> Ist kin WIKI im Sinn von Media-Wiki. Ist wie ein Buchreagl
>> organisiert und hat 2FA. Gibt genug die das nicht haben, einen
>> WYSIWYG-Editor (alternativ HTML) und feingesteuerte Benutzerrechte.
>
> Muss ich mir anschauen.
>
Geht eigentlich ganz gut wenn man das Konzept umsetzt. Backups sind auch
recht einfach zu handhaben.
>>>> - Gitlab (Bamboo)
>>>
>>> Ohnehin besser, imo.
>>
>> Yep. Hat lange gedauert mich weg von svn zu kriegen.
>
> Naja, alleine die Möglichkeit, mal zwei Wochen detached zu arbyten und
> dann mit erträglichen Schmerzen zu syncen ...
>
Ich habe BAMBOO nie benutzt - bei Gitlab sehe ich Nutzen für mich.
Zumal man jetzt den Wunsch hat das ich zum Purple Team mutieren soll.
>>> Habt Ihr das so hin bekommen, dass eine ähnliche Integration wie bei
>>> Atlassian raus kommt?
>>>
>>
>> Nein, weiss nicht ob das geht - aber für uns[TM] egal, weil ich ein
>> Veto dazu hätte.
>
> Oh, ich finde es schon recht nützlich, wenn ich ein Ticket einfach mit
> den Artefakten aus der CI und dem Repo verknüpfen kann.
Ein Link tut es auch. Aber keiner hat bisher gemault - Zumindest soweit
ich weiss. Die Coder sind 80 Meilen weg .....
> Die Integration ist für mich einer der wesentlicheren selling points
> des Atlassian-Stacks.
Bequem v Sicher. Ich weiss wo mein Geld ist .....
>>>> DBA's müssen ja auch direkt an die DB kommen.
>>>
>>> Klar. Was kann schon passieren, wenn phpMyAdmin weltweit erreichbar
>>> ist. Die KI hat das doch empfohlen!!111
>>
>> und .env, .config ......
>
> Aber das liegt doch unter /secret °.
>
>>>> "1337" bitte .... :-D
>>>
>>> WOHER KENNST DU DAS GEHEIME PASSWORT?!
>>
>> Ich kenne auch das Handzeichen!!Ha!!!!11ELF
>
> <Kragenmikro> ZUGRIFF! ZUGRIFF! ZUGRIFF! </>
>
:-D
>>> Thompson, Ken, Reflections on Trusting Trust kennst Du sicherlich
>>> ;-).
>>
>> Ja, da ist schon was bei. Deshalb setze ich auf OpenSource.
>
> Gnrf. Ken meint *eigentlich* was anderes ;-).
*Irgendwo* muss man die Linie ziehen. Und ich habe das bei OSS gemacht.
>> Je nach
>> Thema werden da Fehler von Codern eher gefunden als bei ClosedSource.
>
> Das ist eher eine Sache der Kultur. Was nutzt ein "wohlwollendes code
> review"? Genau, garnüscht! Davon auszugehen, dass $kollegender schon
> aufgepasst hat ist eine richtig dämliche Idee!
Fürs grobe gibt es ja Codechecker. Aber wenn einer was *mutwillig*
verstecken will, dann geht das auch meist. Siehe xz-Problem.
> Ein guter Reviewer geht davon aus, dass der Commiter gerade von den
> Nordkoreanern umgedreht wurde und subtilen Blödsinn macht! Das ist
> natürlich nicht billig und bspw. Farbänderungen im Frontend sind sicher
> was anderes als Änderungen an der oauth-Config.
>
> Man braucht aber halt ein mindset, das den meisten Codern doch eher
> fremd ist.
Eben, kommt nur drauf an mit welchen Zielen man den Code beschaut.
> Und ein Damagement, das versteht, dass Qualität nicht for free ist.
>
Siehe die MEMES zu "Vor dem Datenklau" und "Danach".
>> Gerade im Bereich SEC sollte es offen sein.
>
> Ist ein erster Schritt, aber nicht das Allheilmittel.
*Jeder* mit ich gearbeitet habe/arbeite weiss das keinen Fehlerfreien
Code gib. Je komplexer die Aufgabe, desto mehr Fehler _koennen_
auftauchen. Und bevor jetzt Coder maulen, ich rede nicht von
Trivialsachen wie:
main()
{
printf("Hello World\n");
}
>> Bei komplexer Software bin ich raus - deshalb MUSS ich anderen Trauen.
>
> Naja, Live-Verhaltensanalyse, Isolation, blast radius-Optimierung etc.
> ist wirklich kein Hexenwerk, wenn auch nicht ganz billig.
>
Ebend.
>> Bei Anwendern sieht das ganz anders aus.
>
> Anwender bezahlen Typen wie Dich und mich dafür, dass sie sich über
> manche Sachen eben *nicht* den Kopf zerbrechen müssen.
>
> Oder prüfst Du bei einem Neuwagen, ob alle Bremsen richtig montiert
> sind und der Benzintank kein Leck aufweist?
>
Sicher. Du nicht?
--
Cheers,
G.
Quis custodiet ipsos custodes?
---------------------------->8------------------------------
/"\
\ / ASCII Ribbon Campaign
X against HTML e-mail
/ \
---------------------------->8------------------------------
[toc] | [prev] | [next] | [standalone]
| From | Dietz Proepper <dietz.usenet@rotfl.franken.de> |
|---|---|
| Date | 2025-09-07 09:58 +0200 |
| Message-ID | <20250907095820.7e1ce5ab.dietz.usenet@rotfl.franken.de> |
| In reply to | #646303 |
Goetz Schultz <ng.expire1230@goetz.co.uk> wrote:
> On 05/09/2025 22:29, Dietz Proepper wrote:
> > Goetz Schultz <ng.expire1230@goetz.co.uk> wrote:
> >> On 04/09/2025 21:10, Dietz Proepper wrote:
> >>> Goetz Schultz <ng.expire1230@goetz.co.uk> wrote:
> >> Yep. Hat lange gedauert mich weg von svn zu kriegen.
> >
> > Naja, alleine die Möglichkeit, mal zwei Wochen detached zu arbyten
> > und dann mit erträglichen Schmerzen zu syncen ...
>
> Ich habe BAMBOO nie benutzt - bei Gitlab sehe ich Nutzen für mich.
Ich sprach von "git" als rcs ;-).
> Zumal man jetzt den Wunsch hat das ich zum Purple Team mutieren soll.
Eine sehr lustige Aufgabe, ibs. wenn man entsprechenden backup "von
oben" hat.
> > Die Integration ist für mich einer der wesentlicheren selling points
> > des Atlassian-Stacks.
>
> Bequem v Sicher. Ich weiss wo mein Geld ist .....
Hold my beer. On-prem, mit passender Überwachung, wenn's schee macht.
Die dadurch entstehenden operativen Kosten können allerdings bei Zeiten
als veritabler Meinungsverstärker dienen.
> >>> Thompson, Ken, Reflections on Trusting Trust kennst Du sicherlich
> >>> ;-).
> >>
> >> Ja, da ist schon was bei. Deshalb setze ich auf OpenSource.
> >
> > Gnrf. Ken meint *eigentlich* was anderes ;-).
>
> *Irgendwo* muss man die Linie ziehen. Und ich habe das bei OSS
> gemacht.
Multilevelanalyse ;-). Auf der Toolingebene bin ich bei Dir, aber was
nutzt die Verwendung von OSS, wenn die notwendige Expertise nicht
vorhanden ist und niemand dem Umstand abhelfen will?
> >> Je nach
> >> Thema werden da Fehler von Codern eher gefunden als bei
> >> ClosedSource.
> >
> > Das ist eher eine Sache der Kultur. Was nutzt ein "wohlwollendes
> > code review"? Genau, garnüscht! Davon auszugehen, dass $kollegender
> > schon aufgepasst hat ist eine richtig dämliche Idee!
>
> Fürs grobe gibt es ja Codechecker.
Die *schaden* grundsätzlich nicht, erzeugen aber eine ganz andere
Problemklasse - "Sonar grün -> ich approve mal".
> Aber wenn einer was *mutwillig* verstecken will, dann geht das
> auch meist. Siehe xz-Problem.
xz ist diesbezüglich iirc kein besonders gutes Beispiel. Wenn ich recht
erinnere, ein überlasteter Hauptentwickler.
Erinnerst Du Dich an heartbleed? Oder Log4Shell?
Bei ausreichend $wichtigem ist die verwendete Software *ein* Aspekt.
Eine entsprechende Überwachung des Ganzen, bei 2500 Boxn gerne auch per
"KI"-Unterstützung, so dass man selber mitbekommt, dass man gep0wn1
wurde ist schon auch ganz nett. Aber nicht billig.
> > Ein guter Reviewer geht davon aus, dass der Commiter gerade von den
> > Nordkoreanern umgedreht wurde und subtilen Blödsinn macht! Das ist
> > natürlich nicht billig und bspw. Farbänderungen im Frontend sind
> > sicher was anderes als Änderungen an der oauth-Config.
> >
> > Man braucht aber halt ein mindset, das den meisten Codern doch eher
> > fremd ist.
>
> Eben, kommt nur drauf an mit welchen Zielen man den Code beschaut.
Ich könnte Dir da Geschichten ... "Security mindset" ist zum Teil "Aus-
bildung", zum imho aber wesentlich größeren Teil "Einstellung".
> > Und ein Damagement, das versteht, dass Qualität nicht for free ist.
>
> Siehe die MEMES zu "Vor dem Datenklau" und "Danach".
"Erfahrung" ist häufig mit "aua" verbunden.
> >> Gerade im Bereich SEC sollte es offen sein.
> >
> > Ist ein erster Schritt, aber nicht das Allheilmittel.
>
> *Jeder* mit ich gearbeitet habe/arbeite weiss das keinen Fehlerfreien
> Code gib.
Nuuun. Wie oft wurde die bug-Prämie für tex schon ausgezahlt? *duck*
> Je komplexer die Aufgabe, desto mehr Fehler _koennen_ auftauchen.
Siehe Komplexität, Explosion der. Und das hat die letzten Jahr(zehnt)e
beträchtlich zugenommen. Alleine die Menge an externen dependencies.
Grusel.
> Und bevor jetzt Coder maulen,
Ein Coder ohne Paranoiaschalter ist kein guter Coder ;-).
> ich rede nicht von Trivialsachen wie:
>
> main()
> {
> printf("Hello World\n");
> }
Oh, oh, es gab vor guten 20a in d.a.s.r mal eine Diskussion dazu.
Ergebnis, eine korrekte, komplett fehlerbehandelnde Implementierung
wäre z.B. unter AIX kaum unter 50 Zeilen zu haben ...
> >> Bei Anwendern sieht das ganz anders aus.
> >
> > Anwender bezahlen Typen wie Dich und mich dafür, dass sie sich über
> > manche Sachen eben *nicht* den Kopf zerbrechen müssen.
> >
> > Oder prüfst Du bei einem Neuwagen, ob alle Bremsen richtig montiert
> > sind und der Benzintank kein Leck aufweist?
>
> Sicher. Du nicht?
Nun, wenn es im Innenraum nach Treibstoff stinkt oder eine schillernde
Lache unter dem Fahrzeug zu sehen ist würde mir eine Leckage vermutlich
auffallen. Genauso würde ich bei der Losfahrt die Bremsen testen, klar.
Aber auf die Rampe stellen und alle Schrauben und Muttern nachschauen
(lassen)? Sicher nicht. Naja, vielleicht bei einem Jaguar ;-).
--
Day of judgement, God is calling. On their knees, the war pigs crawling
Begging mercy for their sins Satan laughing, spreads his wings
(War pigs, Black Sabbath)
[toc] | [prev] | [next] | [standalone]
| From | Goetz Schultz <ng.expire1230@goetz.co.uk> |
|---|---|
| Date | 2025-09-07 11:53 +0100 |
| Message-ID | <32390f71-2cf4-4629-adf0-b1cb4e02ddc9@news.goetz.co.uk> |
| In reply to | #646321 |
On 07/09/2025 08:58, Dietz Proepper wrote:
> Goetz Schultz <ng.expire1230@goetz.co.uk> wrote:
>
>> On 05/09/2025 22:29, Dietz Proepper wrote:
>>> Goetz Schultz <ng.expire1230@goetz.co.uk> wrote:
>>>> On 04/09/2025 21:10, Dietz Proepper wrote:
>>>>> Goetz Schultz <ng.expire1230@goetz.co.uk> wrote:
>>>> Yep. Hat lange gedauert mich weg von svn zu kriegen.
>>>
>>> Naja, alleine die Möglichkeit, mal zwei Wochen detached zu arbyten
>>> und dann mit erträglichen Schmerzen zu syncen ...
>>
>> Ich habe BAMBOO nie benutzt - bei Gitlab sehe ich Nutzen für mich.
>
> Ich sprach von "git" als rcs ;-).
>
RC kenne ich als SMS Nachfolger. Irgendwo habe ich die Ausfahrt verpasst.
>> Zumal man jetzt den Wunsch hat das ich zum Purple Team mutieren soll.
>
> Eine sehr lustige Aufgabe, ibs. wenn man entsprechenden backup "von
> oben" hat.
>
Ich hatte mich vor >15A mal auf Pentesterjobs beworben. Was mir damals
fehlte war Codereigenschaft um meine eigenen Tools zu schreiben.
Mitlerweile habe ich wieder Lust am Coden gefunden. Alleine schon durch
BASH --> PYTHON.
>>> Die Integration ist für mich einer der wesentlicheren selling points
>>> des Atlassian-Stacks.
>>
>> Bequem v Sicher. Ich weiss wo mein Geld ist .....
>
> Hold my beer. On-prem, mit passender Überwachung, wenn's schee macht.
>
> Die dadurch entstehenden operativen Kosten können allerdings bei Zeiten
> als veritabler Meinungsverstärker dienen.
>
Und die Lizenzkosten kann man besser anlegen - es sei man hat seinen
gesamten CD/CI auf Atlassian aufgebaut.
>>>>> Thompson, Ken, Reflections on Trusting Trust kennst Du sicherlich
>>>>> ;-).
>>>>
>>>> Ja, da ist schon was bei. Deshalb setze ich auf OpenSource.
>>>
>>> Gnrf. Ken meint *eigentlich* was anderes ;-).
>>
>> *Irgendwo* muss man die Linie ziehen. Und ich habe das bei OSS
>> gemacht.
>
> Multilevelanalyse ;-). Auf der Toolingebene bin ich bei Dir, aber was
> nutzt die Verwendung von OSS, wenn die notwendige Expertise nicht
> vorhanden ist und niemand dem Umstand abhelfen will?
>
Das ist Job der C-Suite das sicherzustellen. Geht eben nur mit
"seasoned" MA und nicht Bubis frisch von der Uni mit null Ahnung.
>>>> Je nach
>>>> Thema werden da Fehler von Codern eher gefunden als bei
>>>> ClosedSource.
>>>
>>> Das ist eher eine Sache der Kultur. Was nutzt ein "wohlwollendes
>>> code review"? Genau, garnüscht! Davon auszugehen, dass $kollegender
>>> schon aufgepasst hat ist eine richtig dämliche Idee!
>>
>> Fürs grobe gibt es ja Codechecker.
>
> Die *schaden* grundsätzlich nicht, erzeugen aber eine ganz andere
> Problemklasse - "Sonar grün -> ich approve mal".
>
Das ist schon der falsch Ansatz. Sonar green ==> da sind keine groben
Mängel drin, ich kann mich auf wesentliche konzentrieren. Ich bin
SW-ler, von daher bin ich weiter raus.
>> Aber wenn einer was *mutwillig* verstecken will, dann geht das
>> auch meist. Siehe xz-Problem.
>
> xz ist diesbezüglich iirc kein besonders gutes Beispiel. Wenn ich recht
> erinnere, ein überlasteter Hauptentwickler.
>
Oh, ich finde das schon ein gutes Beispiel - zumindest für meine Seite.
Zeigt das Trust nicht für immer gilt.
> Erinnerst Du Dich an heartbleed? Oder Log4Shell?
>
Oh ja. Es gab ja auch ein Bug in BASH. Aber der Punkt ist, bei OSS kommt
es durch Codereview raus. Bei CSS _eventuell_ durch Laufzeitprobleme (xz
jetzt mal augenommen).
> Bei ausreichend $wichtigem ist die verwendete Software *ein* Aspekt.
> Eine entsprechende Überwachung des Ganzen, bei 2500 Boxn gerne auch per
> "KI"-Unterstützung, so dass man selber mitbekommt, dass man gep0wn1
> wurde ist schon auch ganz nett. Aber nicht billig.
>
KI knn eventuell Log besser auswerten und Anomalien finden. Braucht aber
immer noch einen Analyst um daraus ein Problem zu machen.
>>> Ein guter Reviewer geht davon aus, dass der Commiter gerade von den
>>> Nordkoreanern umgedreht wurde und subtilen Blödsinn macht! Das ist
>>> natürlich nicht billig und bspw. Farbänderungen im Frontend sind
>>> sicher was anderes als Änderungen an der oauth-Config.
>>>
>>> Man braucht aber halt ein mindset, das den meisten Codern doch eher
>>> fremd ist.
>>
>> Eben, kommt nur drauf an mit welchen Zielen man den Code beschaut.
>
> Ich könnte Dir da Geschichten ... "Security mindset" ist zum Teil "Aus-
> bildung", zum imho aber wesentlich größeren Teil "Einstellung".
>
Ack. Bei uns wird SW mit "Security in mind" entwickelt. Muss man schon
weil es embedded Systeme sind.
>>> Und ein Damagement, das versteht, dass Qualität nicht for free ist.
>>
>> Siehe die MEMES zu "Vor dem Datenklau" und "Danach".
>
> "Erfahrung" ist häufig mit "aua" verbunden.
>
AUA --> viele Schmerzen.
>>>> Gerade im Bereich SEC sollte es offen sein.
>>>
>>> Ist ein erster Schritt, aber nicht das Allheilmittel.
>>
>> *Jeder* mit ich gearbeitet habe/arbeite weiss das keinen Fehlerfreien
>> Code gib.
>
> Nuuun. Wie oft wurde die bug-Prämie für tex schon ausgezahlt? *duck*
>
Ein paar mal IIRC. Aber ich weiss es ist ziemlich robust. Noch keiner
mit KI gekommen? Die finden doch alles !!!!ELF1111
>> Je komplexer die Aufgabe, desto mehr Fehler _koennen_ auftauchen.
>
> Siehe Komplexität, Explosion der. Und das hat die letzten Jahr(zehnt)e
> beträchtlich zugenommen. Alleine die Menge an externen dependencies.
> Grusel.
>
Supply-Chain attacks ... Mein Albtraum.
>> Und bevor jetzt Coder maulen,
>
> Ein Coder ohne Paranoiaschalter ist kein guter Coder ;-).
>
Ist der neben dem Unfehlbar-Schalter?
>> ich rede nicht von Trivialsachen wie:
>>
>> main()
>> {
>> printf("Hello World\n");
>> }
>
> Oh, oh, es gab vor guten 20a in d.a.s.r mal eine Diskussion dazu.
> Ergebnis, eine korrekte, komplett fehlerbehandelnde Implementierung
> wäre z.B. unter AIX kaum unter 50 Zeilen zu haben ...
>
Mann kann aus allem ein Problem machen.
>>>> Bei Anwendern sieht das ganz anders aus.
>>>
>>> Anwender bezahlen Typen wie Dich und mich dafür, dass sie sich über
>>> manche Sachen eben *nicht* den Kopf zerbrechen müssen.
>>>
>>> Oder prüfst Du bei einem Neuwagen, ob alle Bremsen richtig montiert
>>> sind und der Benzintank kein Leck aufweist?
>>
>> Sicher. Du nicht?
>
> Nun, wenn es im Innenraum nach Treibstoff stinkt oder eine schillernde
> Lache unter dem Fahrzeug zu sehen ist würde mir eine Leckage vermutlich
> auffallen. Genauso würde ich bei der Losfahrt die Bremsen testen, klar.
>
> Aber auf die Rampe stellen und alle Schrauben und Muttern nachschauen
> (lassen)? Sicher nicht. Naja, vielleicht bei einem Jaguar ;-).
>
Um Dich mal zu zitieren (Sinngemäß - schon was her): Muss ich die
Sarkasmus Tags noch größer machen?
--
Cheers,
G.
Quis custodiet ipsos custodes?
---------------------------->8------------------------------
/"\
\ / ASCII Ribbon Campaign
X against HTML e-mail
/ \
---------------------------->8------------------------------
[toc] | [prev] | [next] | [standalone]
| From | Dietz Proepper <dietz.usenet@rotfl.franken.de> |
|---|---|
| Date | 2025-09-07 13:31 +0200 |
| Message-ID | <20250907133108.114d02d0.dietz.usenet@rotfl.franken.de> |
| In reply to | #646332 |
Goetz Schultz <ng.expire1230@goetz.co.uk> wrote: > On 07/09/2025 08:58, Dietz Proepper wrote: > > Goetz Schultz <ng.expire1230@goetz.co.uk> wrote: > >> On 05/09/2025 22:29, Dietz Proepper wrote: > >>> Anwender bezahlen Typen wie Dich und mich dafür, dass sie sich > >>> über manche Sachen eben *nicht* den Kopf zerbrechen müssen. > >>> > >>> Oder prüfst Du bei einem Neuwagen, ob alle Bremsen richtig > >>> montiert sind und der Benzintank kein Leck aufweist? > >> > >> Sicher. Du nicht? > > > > Nun, wenn es im Innenraum nach Treibstoff stinkt oder eine > > schillernde Lache unter dem Fahrzeug zu sehen ist würde mir eine > > Leckage vermutlich auffallen. Genauso würde ich bei der Losfahrt > > die Bremsen testen, klar. > > > > Aber auf die Rampe stellen und alle Schrauben und Muttern > > nachschauen (lassen)? Sicher nicht. Naja, vielleicht bei einem > > Jaguar ;-). > Um Dich mal zu zitieren (Sinngemäß - schon was her): Muss ich die > Sarkasmus Tags noch größer machen? Dang! -- Day of judgement, God is calling. On their knees, the war pigs crawling Begging mercy for their sins Satan laughing, spreads his wings (War pigs, Black Sabbath)
[toc] | [prev] | [next] | [standalone]
| From | Walter Brill <WalterBrill@t-online.de> |
|---|---|
| Date | 2025-09-07 17:26 +0200 |
| Subject | [OT] Re: DDoS 11,5 Tbit pro Sekunde von der Google Cloud ausgehend |
| Message-ID | <mi5mhtF6l86U4@mid.individual.net> |
| In reply to | #646223 |
Hallo, Am 05.09.25 um 09:59 schrieb Goetz Schultz: > On 04/09/2025 21:10, Dietz Proepper wrote: >> Goetz Schultz <ng.expire1230@goetz.co.uk> wrote: .. .. >> Ich erinnere mich :-). Könnte sein, dass ich Dich da irgendwann nochmal >> mit ein paar Fragen nerve. >> > > Sciher. Manus manum lavat ..... Lasst mich da mal reingrätschen. Den Ausdruck musste ich erst mal "suchmaschinen". Und was kommt beim "Weltenherscher" dabei raus: amazon.de • Anzeige *manus manum lavat* | Hochwertige Produkte "Bei uns finden Sie zahlreiche Produkte von namhaften Herstellern auf Lager. Wähle aus unserer großen Auswahl an MP3-Musik-Downloads. Jetzt online shoppen." Ist mir schlecht... ;-( Ciao Walter
[toc] | [prev] | [next] | [standalone]
| From | Michael Bode <m.g.bode@web.de> |
|---|---|
| Date | 2025-09-07 17:37 +0200 |
| Subject | Re: [OT] Re: DDoS 11,5 Tbit pro Sekunde von der Google Cloud ausgehend |
| Message-ID | <mi5n54F6t4uU1@mid.individual.net> |
| In reply to | #646360 |
Walter Brill <WalterBrill@t-online.de> writes: > Hallo, > > Am 05.09.25 um 09:59 schrieb Goetz Schultz: >> On 04/09/2025 21:10, Dietz Proepper wrote: >>> Goetz Schultz <ng.expire1230@goetz.co.uk> wrote: > .. > .. >>> Ich erinnere mich :-). Könnte sein, dass ich Dich da irgendwann nochmal >>> mit ein paar Fragen nerve. >>> >> Sciher. Manus manum lavat ..... > > Lasst mich da mal reingrätschen. > Den Ausdruck musste ich erst mal "suchmaschinen". Und was kommt beim > "Weltenherscher" dabei raus: > > amazon.de > • > Anzeige > *manus manum lavat* | Hochwertige Produkte > "Bei uns finden Sie zahlreiche Produkte von namhaften Herstellern auf > Lager. Wähle aus unserer großen Auswahl an MP3-Musik-Downloads. Jetzt > online shoppen." > > Ist mir schlecht... ;-( Jetzt verrate auch noch, wer deiner Meinung nach der "Weltenherrscher" ist.
[toc] | [prev] | [next] | [standalone]
| From | Walter Brill <WalterBrill@t-online.de> |
|---|---|
| Date | 2025-09-08 14:15 +0200 |
| Subject | Re: [OT] Re: DDoS 11,5 Tbit pro Sekunde von der Google Cloud ausgehend |
| Message-ID | <mi7vnpFijjnU2@mid.individual.net> |
| In reply to | #646361 |
Hallo, Am 07.09.25 um 17:37 schrieb Michael Bode: > Walter Brill <WalterBrill@t-online.de> writes: > >> Hallo, >> >> Am 05.09.25 um 09:59 schrieb Goetz Schultz: >>> On 04/09/2025 21:10, Dietz Proepper wrote: >>>> Goetz Schultz <ng.expire1230@goetz.co.uk> wrote: >> .. >> .. >>>> Ich erinnere mich :-). Könnte sein, dass ich Dich da irgendwann nochmal >>>> mit ein paar Fragen nerve. >>>> >>> Sciher. Manus manum lavat ..... >> >> Lasst mich da mal reingrätschen. >> Den Ausdruck musste ich erst mal "suchmaschinen". Und was kommt beim >> "Weltenherscher" dabei raus: >> >> amazon.de >> • >> Anzeige >> *manus manum lavat* | Hochwertige Produkte >> "Bei uns finden Sie zahlreiche Produkte von namhaften Herstellern auf >> Lager. Wähle aus unserer großen Auswahl an MP3-Musik-Downloads. Jetzt >> online shoppen." >> >> Ist mir schlecht... ;-( > > Jetzt verrate auch noch, wer deiner Meinung nach der "Weltenherrscher" ist. Abgeleitet von "suchmaschinen": Google ;-) Ciao Walter
[toc] | [prev] | [next] | [standalone]
| From | Goetz Schultz <ng.expire1230@goetz.co.uk> |
|---|---|
| Date | 2025-09-07 17:24 +0100 |
| Subject | Re: [OT] Re: DDoS 11,5 Tbit pro Sekunde von der Google Cloud ausgehend |
| Message-ID | <b4916254-73ca-4cd0-8fc3-e08ea4932be4@news.goetz.co.uk> |
| In reply to | #646360 |
On 07/09/2025 16:26, Walter Brill wrote:
> Hallo,
>
> Am 05.09.25 um 09:59 schrieb Goetz Schultz:
>> On 04/09/2025 21:10, Dietz Proepper wrote:
>>> Goetz Schultz <ng.expire1230@goetz.co.uk> wrote:
> ..
> ..
>>> Ich erinnere mich :-). Könnte sein, dass ich Dich da irgendwann nochmal
>>> mit ein paar Fragen nerve.
>>>
>>
>> Sciher. Manus manum lavat .....
>
> Lasst mich da mal reingrätschen.
> Den Ausdruck musste ich erst mal "suchmaschinen". Und was kommt beim
> "Weltenherscher" dabei raus:
>
> amazon.de
> •
> Anzeige
> *manus manum lavat* | Hochwertige Produkte
> "Bei uns finden Sie zahlreiche Produkte von namhaften Herstellern auf
> Lager. Wähle aus unserer großen Auswahl an MP3-Musik-Downloads. Jetzt
> online shoppen."
>
> Ist mir schlecht... ;-(
>
> Ciao
> Walter
Der kam bei mir im "Redde rationem" vor. Ich glaube Kapitel 5. Tja, der
eine kann Latein, der andere Google :-P
--
Cheers,
G.
Quis custodiet ipsos custodes?
---------------------------->8------------------------------
/"\
\ / ASCII Ribbon Campaign
X against HTML e-mail
/ \
---------------------------->8------------------------------
[toc] | [prev] | [standalone]
Back to top | Article view | ger.ct
csiph-web