Veni, Vidi, VISA - Job

Makita spioniert DeWalt aus!!!111!

blog@strcat.de (Christian Schneider) — Tue, 12 Mar 2013 18:54:43 +0100

Für diejenigen, denen die Marken nichts sagen: Ist vergleichbar mit "BMW vs. Mercedes". Saugt aber sowieso alles, solange nicht Hilti, Mafell oder ggf. noch Festool draufsteht; eh klar, oder?!

"Rundfunkgebührenfreiheit für Internet-PC als Zweitgerät im nicht ausschließlich privaten Bereich"

blog@strcat.de (Christian Schneider) — Thu, 18 Aug 2011 18:04:27 +0200

Das Bundesverwaltungsgericht in Leipzig hat heute über drei Klagen gegen Rundfunkgebührenbescheide entschieden. Die Kläger nutzen jeweils einen Teil ihrer Wohnungen für die Ausübung einer selbstständigen (freiberuflichen) Tätigkeit. In den dafür genutzten Räumen verfügen sie über einen internetfähigen PC. In den anderen ausschließlich privat genutzten Räumen sind herkömmliche Fernseh- und Rundfunkgeräte vorhanden, für die Rundfunkgebühren entrichtet werden. Die beklagten öffentlich-rechtlichen Rundfunkanstalten verlangten Rundfunkgebühren auch für die beruflich genutzten PC, während die Kläger sich auf die Gebührenbefreiung für Zweitgeräte beriefen. Die Vorinstanzen hatten den Klägern Recht gegeben und die Gebührenbescheide aufgehoben. Das Bundesverwaltungsgericht hat die dagegen gerichteten Revisionen der Rundfunkanstalten zurückgewiesen.

Nach der einschlägigen Bestimmung des Rundfunkgebührenstaatsvertrages ist für neuartige Rundfunkempfangsgeräte (insbesondere Rechner, die Rundfunkprogramme ausschließlich über Angebote aus dem Internet wiedergeben können) im nicht ausschließlich privaten Bereich keine Rundfunkgebühr zu entrichten, wenn die Geräte ein und demselben Grundstück oder zusammenhängenden Grundstücken zuzuordnen sind und andere Rundfunkempfangsgeräte dort zum Empfang bereitgehalten werden. Das Bundesverwaltungsgericht hat diese Vorschrift dahin ausgelegt, dass die Vorschrift auch dann anzuwenden ist, wenn das herkömmliche Rundfunkempfangsgerät als Erstgerät auf demselben Grundstück zum Empfang bereitgehalten wird, dem auch der PC als Zweitgerät zuzuordnen ist, ohne dass es darauf ankommt, ob auch das herkömmliche Rundfunkempfangsgerät in dem nicht ausschließlich privat, sondern auch beruflich genutzten Bereich des Grundstücks oder der Wohnung bereitgehalten wird. Zu dieser Bewertung ist das Bundesverwaltungsgericht maßgeblich unter Beachtung des Sinn und Zwecks der Regelung gelangt, die neuartige Rundfunkempfangsgeräte rundfunkgebührenrechtlich privilegieren will. Denn einerseits sind solche Geräte nicht selten tragbar (Laptops, internetfähige Mobiltelefone) und entziehen sich von daher einer festen Zuordnung zu bestimmten Räumlichkeiten. Andererseits dienen die neuartigen Geräte - vor allem im nichtprivaten Bereich - häufig nicht (primär) dem Rundfunkempfang, sondern werden als Arbeitsmittel benutzt.

BVerwG 6 C 15.10, 45.10 und 20.11 - Urteile vom 17.08.2011

Vorinstanzen:
BVerwG 6 C 15.10: VG Koblenz, 1 K 1058/09.KO - Urteil vom 12. Januar 2010 -
OVG Koblenz 7 A 10416/10 - Urteil vom 17. Juni 2010 -

BVerwG 6 C 45.10:
VG Frankfurt am Main, 11 K 1310/08.F(V) - Urteil vom 8. September 2009 -
VGH Kassel, 10 A 2910/09 - Beschluss vom 30. März 2010 -

BVerwG 6 C 20.11: VG München, M 6b K 09.768 - Urteil vom 28. Dezember 2009 -
VGH München 7 BV 10.443 - Urteil vom 27. April 2011 -

Quelle: Bundesverwaltungsgericht

Geld zurück gibt es wahrscheinlich keins, aber trotzdem ist das Urteil es wert erwähnt zu werden. Schade eigentlich.. gerade vorhin hab ich meinen Argumentationsunterstützer bei GEZ-Besuchen frisch geschärft.

Schreibflaute und Urlaubsplanung

blog@strcat.de (Christian Schneider) — Wed, 17 Aug 2011 13:15:45 +0200

Die momentane Schreibflaute hält weiter an. Zum einen weil ich gerade meine Ausrüstung für den nächsten Urlaub (zwei Wochen Survival in Schweden) vervollständige und zum anderen weil es nichts interessantes zu berichten gibt. Letzteres liegt auch daran das ich mich schon seit einiger Zeit nach einem anderen Job umsehe, wo ich nicht zu 99% von absoluten Komplettdeppen umgeben bin.

Ubuntu != Linux

blog@strcat.de (Christian Schneider) — Mon, 18 Jul 2011 17:30:43 +0200

Gesucht wurde jemand der mehrere Hosts aufsetzt, diverse Dienste installiert/konfiguriert, diese dann in ein bereits bestehendes Netzwerk einbindet und die Ciscos neu konfiguriert. In der Stellenausschreibung stand nichts von Ubuntu (sonst wär ich da gar nicht erst hin), aber egal. Dort hin, Referenzen vorgelegt, denen meine Lösung präsentiert und dann wurde ich erstaunt und zum Teil enttäuscht gefragt ob ich kein Für Ubuntu zertifizierter Administrator bin. Nun ist mir zwar Ubuntu-Zertifizierung von LPI und Ubuntu Certified professional bekannt, aber ich hab das eher für einen verspäteten Aprilscherz gehalten. Alles argumentieren half nichts; der Job wurde jemanden angeboten der die Zertifizierung vorlegen konnte. Immerhin arbeitet er ja schon seit drei Jahren mit Linux und soooo schwer sind 525er PIX ja auch nicht zu konfigurieren. Immerhin ist er ja mit "den gängigen Firewallkonzepten vertraut".
Ich wünsch ihm jedenfalls viel Glück und das er alles auf die Reihe kriegt (ist wirklich ernst gemeint!). Die ersten Jobs sind meistens die stressigsten; besonders wenn ständig jemand hinter einem steht und auf die Finger schaut.

Hat aber auch seine guten Seiten das ich den Job nicht bekommen habe. So hab ich wenigstens etwas Zeit um meine Survivaltour für dieses Jahr zu planen. Zur Zeit tendiere ich zu Kiruna (Nordschweden). Das Problem ist das ich dieses Jahr nicht recht viel freie Zeit habe und deswegen max. zwei Wochen dafür einplanen kann und deswegen Kanada, China, Chile, .. ausscheiden. Abgesehen davon bräuchte ich für längere/weitere Touren einen zweiten Mann auf den ich mich verlassen kann und der die nötige Ausrüstung hab und nicht mit einem Lidl-Klappmesser ankommt und jeden Tag duschen will.

Zweiter Nachtrag zu "Welche Distri setzt du denn am häufigsten ein?"

blog@strcat.de (Christian Schneider) — Sun, 05 Jun 2011 11:22:17 +0200

Hier habe ich schonmal dazu ausführlich Stellung zu meiner Aussage "[...] allein schon deswegen damit ich nicht ständig *BSD anstelle von Linux installieren muss [...]" bezogen, aber anscheinend reicht das immer noch nicht. Einige Debian-Nazis haben mir nämlich u. a. via Mail erklärt das ich keine Ahnung habe und Müll labere, weil Die Sicherheit eines System in erster Linie vom Administrator abhängt.
Nun.. das ist nur die halbe Wahrheit. Es ist korrekt das ein fachlich versierter Admin das gleiche System "sicherer machen kann" als ein Anfänger. Nur ist auch der kompetenteste Admin an das System gebunden. Linux - respektive die Distributionen - sind nicht nach TCSEC evaluiert. Das ist zwar rein theoretisch mit SEL realisierbar, aber mir persönlich ist noch kein einziger Fall bekannt wo das auch gemacht wurde. Und dazu kommen wir gleich zum nächsten Punkt: Nur weil ein System den Vorgaben eines TCSEC/ITSEC-Levels entspricht, ist es noch lange nicht zertifiziert. Das kann nur das BSI. Von daher ist meine Aussage "$FOO ist ein Hochsicherheitssystem und $BAR nicht" vollkommen korrekt. Egal wie sehr das meine lieben Debian-Trottel nervt.

Und nur damit wir uns richtig verstehen: Mit Debian-{Trottel,Nazis} meine ich die "Debian ist krass stabil!" und "Nur für Profis!"- Rumschreier die seit zwei Jahren mit Linux arbeiten und denken sie hätten Ahnung wovon sie reden.

Ahso.. bin vorhin von einem Kurztrip nach Italien zurückgekommen. Einige Fische gefangen, braun geworden, Spaß gehabt und für diesen Herbst nach Spanien zum fischen eingeladen worden.

Ich darf mal wieder Vorträge halten

blog@strcat.de (Christian Schneider) — Thu, 28 Apr 2011 18:12:27 +0200

Nächste Woche gleich Drei. #1 ist für die angehenden Admins von $FIRMA und wie sie bei der Fehlersuche und nach einer Kompromittierung
vorgehen sollten, #2 wieso User Freiwild sind und nichts zu melden haben (ist auch für Admins und handelt darum welche Rechte sie normalen Usern einräumen sollten) und #3 mein Lieblingsthema: Netzwerk- und Passwortsicherheit am Arbeitsplatz. Für #1 und #3 habe ich schon Folien und #2 würde ich am liebsten aus dem Effeff machen, aber wenn es auf der Leinwand nix zu sehen gibt, taugt es nichts *sigh*
Drei Vorträge, drei Firmen und absolut null Bock. Einziger Lichtblick ist, dass die Vorträge alle nur einen halben Tag dauern und zumindest zwei der drei Lehrgangsteilnehmer ausreichend motiviert sind, da sie neu in der Branche sind. Die traurige Wahrheit ist jedoch, dass sich 99% nach einiger Zeit exakt gar nichts mehr darum kümmern und nur noch nach dem works for me-Prinzip arbeiten. Wobei das wiederum den angenehmen Nebeneffekt hat, dass ich nicht arbeitslos werde.

"An diesem Server wurde definitiv nichts geändert!"

blog@strcat.de (Christian Schneider) — Wed, 27 Apr 2011 14:59:42 +0200

.. und Das muss ein Fehler seitens des Systems sein!

$ aptitude update

$ aptitude dist-upgrade

[ Haufenweise Zeugs ]

dpkg-query: warning: parsing file '/var/lib/dpkg/status' near line 7653 package 'foobar'

 error in Version string 'barfoo': version number does not start with digit

(Und das ~100 Mal)

Das dist-upgrade verlief zwar problemlos wenn man mal von den Warnungen absieht und es wurde auch wirklich nichts geändert. Also bis auf das austauschen von stable auf testing in der /etc/apt/sources.list ohne anschließenden Neustart. Details ..

Wieso wird nicht einfach gesagt: "Du.. ich habe das und das gemacht und jetzt passiert das.". Dann müsste ich nicht stundenlang nach dem Fehler suchen, der Server wäre schneller wieder online und die Firma müsste nicht soviel zahlen. Das hab ich auch dem Chef der Firma gesagt und ich hoffe mal das er sich den Oberadmin mit seinem 99-Anzug von C&A zur Brust nimmt.

Und wer is dran schuld?! Genau.. das Betriebssystem!!!11!

blog@strcat.de (Christian Schneider) — Mon, 28 Feb 2011 14:17:36 +0100

Letzte Woche war ich bei $Firma und musste dort ins. vier Server neu aufsetzen. Also eigentlich sollte ich dort lediglich einen Server aufsetzen und auf den anderen drei nur die "Betriebssystembedingten Fehler" beheben.

Beim 1. Server mit OpenBSD 4.7 funktionierte kaum ein Port, weil "das wahrscheinlich ein Bug im Compiler ist". Der Compiler war auch schuld. Wieso zickt der rum nur weil man OpenBSD 4.7-STABLE hat und die Ports von -DEVEL einsetzt? Frechheit das!!11!
Server Nr. 2 mit Debian wheezy/sid (auf einer Produktionsplattform wohlgemerkt!) "verhält sich komisch" und hat nicht jeden Daemon gestartet. Naja.. wenn man unter /etc/default/* nicht ENABLE, ACTIVATE, .. anpasst, dann is das halt mal so. Immerhin macht das System das, zu was man es anweist und nicht das was man will.
Server Nr. 3 (ebenfalls wheezy/sid) war schon etwas hartnäckiger. Da konnte man sich nämlich nicht mehr als root einloggen. Als mir der Admin erklärt hat was er gemacht hat, hat es mich eher verwundert das die Kiste nicht gleich explodiert ist. Weil: Sich als root einloggen ist pöhse[TM]. Da hat er ja auch recht. Aber er wollte dafür sorgen das sich niemand mehr als root einloggen kann und hat die Loginshell für root auf /bin/false umgebogen und dafür die /etc/passwd editiert. Und weil er grad dabei war, hat er auch gleich die notwendigen User angelegt, die sich auf der Kiste einloggen können sollten (Ja. Ich weiß.. meine Grammatik saugt); das hat er ebenfalls mit einem Editor gemacht. Ich weiß zwar nicht wie man auf die Idee kommt - und das sauge ich mir jetzt nicht aus den Finger! - in der /etc/shadow die Passwörter für die User mit einem Editor einzutragen. Und zwar im Klartext!

Ich glaube ich muss eine neue Kategorie Namens "Best of pebkac" erstellen, weil langsam aber sicher nimmt das ungeahnte Ausmaße an.

"Welche Distri setzt du denn am häufigsten ein?"

blog@strcat.de (Christian Schneider) — Tue, 08 Feb 2011 22:28:34 +0100

Diese Frage wurde mir per Mail gestellt und auf meine Aussage [...] allein schon deswegen damit ich nicht ständig *BSD anstelle von Linux installieren muss [...] und meinen Rant gegen Debian 6.0 "Squeeze" verwiesen.
Die meisten Firmen wollen vorzugsweise das System, das sie in der restlichen Umgebung einsetzen (bis auf einige Ausnahmen) und das ist zum Großteil Linux, wobei leider nur sehr wenig Linux auf Workstations einsetzen. Ich werde i. d. R. auch nicht dafür bezahlt eine Workstation für eine Sekretärin oder einen Desktop für einen CADler aufzusetzen und kann auch nur Empfehlungen aussprechen was das OS betrifft. Am häufigsten wurde bisher Debian eingesetzt; aber nicht weil extremst Stabil und so, sondern weil es schnell zu installieren ist und eine umfangreiche Paketsammlung enthält. Außerdem kann man es am besten verkaufen, weil es den Ruf einer "Profidistribution" hat und auf vielen Architekturen läuft. NetBSD fristet bei meiner Arbeit (leider) ein Nischendasein (letztes Jahr genau dreimal installiert/konfiguriert); Free- und OpenBSD kamen häufiger zum Einsatz, wobei die zum Teil auch als "Auswahlsystem" bei Vservern genutzt wurden.
Sobald es sich allerdings um hochsichere Systeme dreht, rate ich jedem von Linuxdistributionen ab weil der Aufwand den Nutzen übersteigt. Bei *BSD hat man den Vorteil das man alles aus einer Hand bekommt; sprich: Kernel und Userland. Bei Linux wird der Kernel unabhängig von der Distribution entwickelt und deswegen dauert es auch länger bis Bugfixe in die Distribution einfließen (was durch das Fehler einer offiziellen Announce seitens @kernel.org zusätzlich noch verzögert wird). Dazu kommt noch das z. B. Debian Probleme provoziert; ist zwar jetzt etwas reißerisch geschrieben, aber sinngemäß. Bei "lenny" wurde die Verwendung von aptitude(8) empfohlen, während man ein Release später - also "Squeeze" - wieder apt-get(8) für die interaktive Paketverwaltung empfohlen wird. Ich wage mal zu behaupten, dass ich dieses Jahr des öfteren mit Systemen zu tun haben werde, die aufgrund der abwechselnden Nutzung von apt-get(8) und aptitude(8) kaputtoptimiert wurden. Dazu kommt noch das die Backports jetzt offizieller Bestandteil von Debian sind und Nutzer dazu motiviert werden auf diese zurückzugreifen, obwohl in der Vergangenheit in Foren, Newsgroups, Mailinglisten, .. davor gewarnt wurde Stable, Unstable und Testing zu mischen. Ich habe im Laufe der Zeit schon einige Male "aber das stand so auf der Homepage!" gehört wenn ich gefragt habe wieso $FOO $BAR gemacht hat (nicht nur in Bezug auf Debian).
Einige Firmen sind sich dessen auch bewusst, aber nehmen das Risiko in Kauf, weil sie in ihrem Umfeld eine bestimmte Software aus dem aktuellen Branch benötigen, die über das Paketmanagement verwaltet werden kann. Gentoo kommt nur in Ausnahmefällen zum Einsatz, weil jegliche Software aus den Sourcen kompiliert werden muss und die Ressourcen zum Teil anderweitig benötigt werden. Zu guter Letzt kommt es auch darauf an welche Hardware eingesetzt wird. Auch wenn *BSD noch so gut für den Einsatzzweck geeignet gewesen wäre, bringt es nichts wenn die Hardware nicht unterstützt wird. Das ist wieder ein Punkt für Linux, da hier Treiber für mehr (und auch neuere) Geräte vorhanden sind. Lustig wird es dann erst bei proprietären Treibern bzw. Software die einige Distributoren aus Lizenzgründen als proprietär einstufen.
Bei "richtigen" Hochsicherheitssystemen kommt dann allerdings kein Linux oder *BSD zum Einsatz, sondern da werden nach TCSEC evaluierte Systeme wie Trusted Solaris, Ultrix, HP-UX oder AIX eingesetzt.

Todo-Liste für meinen Urlaub

blog@strcat.de (Christian Schneider) — Sun, 19 Dec 2010 14:10:46 +0100

⇒ zsh-lovers.de.1 ins git-Repo von GRML hochladen (Wo zum Teufel sind meine Keys dafür verdammt?!)
⇒ tmux konfigurieren und feinjustieren
⇒ Mein Theme für Irssi umschreiben bzw. ein neues Theme erstellen
⇒ Mir überlegen wo ich dieses Jahr Silvester verbringe; wird immer schwieriger einen Platz ohne Menschen zu finden.
⇒ Neues Handy aussuchen; mein BlackBerry tut zwar noch, aber nach drei Jahren Dauereinsatz ist es schon ziemlich runtergekommen.

Und - last, but not least - ich brauche ein wirksames ~~Heil~~Gegenmittel gegen diese technischen Vollpfeifen, mit denen ich ständig beruflich zu tun habe. Frage des Jahres war eindeutig Können wir da den "I like it!"-Button von Facebook implementieren?. Hört sich eigentlich nicht weiter wild an; also mal davon abgesehen das ich Nutzer von Facebook für schmerzbefreite Vollpfosten halte. Nur habe ich da gerade einen Mailinglisten-Server aufgesetzt und der Admin wollte den Button als Standardsignatur in allen Mails der Mailingliste eingebunden haben. Und Nein! Das habe ich mir nicht gerade ausgedacht. Solche Typen laufen in Deutschland wirklich frei rum!

Yep.. i'm still alive

blog@strcat.de (Christian Schneider) — Thu, 09 Dec 2010 18:32:29 +0100

Auch wenn ich meinen Fanclub mal wieder enttäuschen muss, aber ich erfreue mich noch immer bester Gesundheit und halte Menschen nach wie vor für Idioten. Der Grund wieso ich so lange nichts mehr in das Blog geschrieben habe, ist schlicht und einfach der, das ich entweder keine Lust hatte oder es nichts zu schreiben gab. Ich hatte ehrlich gesagt keinen Bock das x-te Mal über das Verfahren von Julian Assange zu schreiben.
Das einzige was mich (un)mittelbar betrifft ist der neue Jugendmedienschutzstaatsvertrag (kurz JMStV). Kristian hat sein Blog vom Netz genommen und dort eine passende Stellungnahme gegeben. Aber jetzt scheiden sich die Geister. Ich kenne zwar den Eintrag von Udo Vetter, aber ich als juristischer Volllaie lese da lediglich ein "Wird schon nichts passieren!" raus, denn verbindliche Aussagen kann und wird niemand machen. Und zwar aus einem ganz einfachen Grund: Dieses Gesetz wurde von Personen entworfen/verabschiedet/whatever, die in Bezug auf "Technik" mit allem überfordert sind, was die Komplexität eines Waschlappens übersteigt.
Die Fragen die sich mir stellen sind die gleichen wie die, die sich die Mehrzahl der "Blogger" stellen. Wie muss ich meine Seite kennzeichnen? Ab wie viel Jahren ist meine Seite? Ich persönlich werde - sofern sich der aktuelle Stand dieses Gesetzes nicht grundlegend ändert - sämtlichen Inhalt dieser Domain entfernen. Aus Lesepflicht für alle: 17 Fragen zum neuen JMStV lese ich u. a. "Lediglich das Impressum muss um die Daten eines Jugendschutzbeauftragten ergänzt werden, weil sonst Abmahnungen drohen." und alleine da dreht sich mir schon der Magen um. Abmahnungen.. war ja klar das sich einige Juristen daran wieder eine goldene Nase verdienen (wollen/können) und es noch immer verboten ist solche Typen zu erschlagen.
Jetzt werden wahrscheinlich irgendwelche krassen Revoluzzer aufschlagen und Parolen wie "Hey.. steh auf und kämpfe!", "Aufgeben ist keine Lösung!" und was weiß ich was noch zum Besten geben. Nun, wer mir eine verbindliche Zusage gibt das mich der JMStV nicht betrifft wenn ich weiterhin so schreibe wie bisher und ggf. die anfallenden Kosten für mich übernimmt wenn es zu einer Abmahnung kommt, der darf sich gerne bei mir melden. Apropos Kosten... Mein glorreiches und extremst ekliges "Antihotlinking-Bild" wurde von einem Erwachsenen (gehe ich mal davon aus, da er seinen Dr.-Titel angegeben hat (Bauer's Law!!!111!)) zur Anzeige gebracht. Anscheinend war derjenige so geschockt, weil er "Pornographie gesehen hat obwohl er nicht explizit danach gesucht hat". Diese Anzeige ging dann über den besten Webhoster wo das es gibt" zu mir und ich wurde zu fünf Tagessätzen a 100 verdonnert. Lernen durch Schmerz.. eine einfache Mail vom Dr. zu mir mit der Aufforderung das Pic zu entfernen hätte es auch getan, aber wayne..

Wie dem auch sei: Sollte sich der JMStV nicht grundlegend ändern, wird jeglicher Inhalt dieser Domain zum Jahreswechsel entfernt und auch nicht als Archiv angeboten. Ich werde zwar ein aktuelles Backup anlegen, allerdings nur für den Fall das ich diese Seite irgendwann wieder online stelle.
Sollte also jemand etwas von dieser Seite brauchen, der soll es sich doch bitte herunterladen.

Frage des Tages

blog@strcat.de (Christian Schneider) — Wed, 08 Sep 2010 13:53:25 +0200

"Haben wir mit dem Firewallkonzept dann auch uneingeschränkten Zugriff auf das Internet?!"
m(

Linux vs. *BSD auf sicherheitsrelevanten Systemen

blog@strcat.de (Christian Schneider) — Fri, 20 Aug 2010 18:03:55 +0200

Nachdem ich im vorherigen Eintrag geschrieben habe das ich nicht ständig *BSD anstelle von Linux installieren muss wenn es sich um sicherheitsrelevante Systeme dreht, haben mich schon einige Mails erreicht wo mir erklärt wurde, das man auch Linux auf solchen Systemen verwenden kann.
Stimmt auffallend. Die Frage ist nur ob man das auch wirklich will? Das kein System wirklich sicher ist, steht außer Frage (mal XTS-400 und diverse TCSEC-B1 - Systeme mal außer Acht gelassen) und das Sicherheitslücken gefunden werden lässt sich bei komplexen Systemen nicht vermeiden. Aber was ein absolutes KO-Kriterium sein kann, ist, wie auch gefundene Sicherheitslücken reagiert wird. Bei *BSD (damit ich mich auch den vorherigen Eintrag beziehe) gibt es dafür Mailinglisten und Advisories auf der Homepage wo man sich informieren bzw. auf dem laufenden halten kann. Bei Linux gibt es weder noch; nur einen kurzen Log im git-log. Gut.. besser als nix werden sich jetzt einige denken, aber das ist für Admins alles andere als auch nur irgendwie brauchbar. Ein Admin hat i. d. R. keine Zeit um sich ein Repo zu clonen und dort in den Shortlogs nach Änderungen Ausschau zu halten die sich auf Sicherheitslücken beziehen. Und - auch wenn ich jetzt einige enttäuschen muss - es bringt auch nicht viel das z. B. Debian die Mailingliste debian-security-announce@ hat, wo man über Sicherheitslücken benachrichtigt wird. Deren Aufgabe ist es, Patche über ihr Paketmanagementsystem verfügbar zu machen, damit sie eingespielt werden können. Aber das können sie erst, nachdem der Patch auch verfügbar ist.
Wenn eine bekannte Sicherheitslücke über zwei Monate lang nicht behoben wird, dann ist das absolut untragbar und die Tatsache das in keiner Art und Weise veröffentlicht wird, dass es sich um die Behebung eines sicherheitsrelevanten Bugs handelt, ist für mich ein Grund meinen Kunden Linux auf sicherheitsrelevanten Systemen als letzte Möglichkeit zu empfehlen (und selbst da nur mit Einschränkungen).

Vim 7.3 verfügbar und eine alte Sicherheitslücke im Linuxkernel behoben

blog@strcat.de (Christian Schneider) — Thu, 19 Aug 2010 16:08:34 +0200

Vim 7.3 Announcement. Was genau geändert wurde, kann man unter :h version-7.3 nachlesen.. mehr oder weniger.. eigentlich mehr weniger, weil es wieder mal keinen brauchbaren Changelog gibt *sigh*

Und eine Sicherheitslücke im Linuxkernel wurde geschlossen. Nach zwei Monaten. Und selbstverständlich ohne irgendeinen Hinweis darauf das es eine Sicherheitslücke war. Hey.. geht ja nur um das kleine Problem das lokale User root-Rechte erreichen können. Langsam wird es echt mal Zeit das jemand einen funktionierenden Fork von Linux rausbringt; allein schon deswegen damit ich nicht ständig *BSD anstelle von Linux installieren muss wenn es sich um sicherheitsrelevante Systeme dreht.

Ich habe fertig!

blog@strcat.de (Christian Schneider) — Mon, 09 Aug 2010 16:51:34 +0200

So.. keine Aufträge mehr in der Warteschleife. Zum ersten Mal seit fast einem Jahr wo ich mehr als vier Tage zusammenhängenden Urlaub habe bzw. es so drehen konnte das ich keine Aufträge mehr hatte. Jetzt mach ich bis zum 06.09.2010 gar nichts. Nicht mal gar nichts.