Neuigkeiten

Some things are going to get ugly, but please don’t give up the fight.

At 38c3 they called the minimum step to that: "do not obey in advance". https://media.ccc.de/v/38c3-opening-ceremony#t=1343

Kommentar auf Youtube.

Wer in einem militärisch schwächeren Land dafür sorgen will, dass der Überfall anderer Länder nicht zum Normalfall wird, muss leider so weit aufrüsten, dass so ein Überfall keinen Erfolg hat. Erst dann kann auf Augenhöhe gemeinsam abgerüstet werden: beide Seiten reduzieren ihr Militär Stück für Stück, damit kein Ungleichgewicht entsteht, das ausgenutzt werden würde.

Denn mit dem Überfall auf die Ukraine hat Putin klargestellt, dass ihm Verträge nichts wert sind, wenn sie nicht von militärischer Macht gedeckt sind.

Als Erinnerung: die Ukraine hat alle ihre Atomwaffen an Russland abgegeben und dafür die Garantie bekommen, dass Russland sie nicht angreifen wird.

Leserbrief zum geplanten Kanzlerduell des ZDF.

Sehr geehrte Redaktion,

ich sehe mit Irritation, dass Sie immernoch Scholz gegen Merz in ein Duell holen wollen. Nach aktuellen Umfragen¹ sind die Grünen teilweise vor der SPD, und die beiden beliebtesten Kandidaten sind mit Abstand Merz und Habeck².

Da bei einer GroKo Scholz auf keinen Fall Kanzler wird und bei Rot-Grün nach aktuellen Umfragen die Grünen eine Chance haben, den Kanzler zu stellen, halte ich es für schwer vermittelbar, ein Duell zwischen Merz und Scholz du veranstalten.

Mit freundlichen Grüßen
Arne Babenhauserheide

¹

z.B. wahlrecht.de/umfragen/politbarometer.htm
Grüne 15%, SPD 14%, 10. 1.2025

²

politbarometer2.zdf.de/store/Politbarometer/2025_01_10/html/2400x1350-1734621913969-a96407c7.jpg
Merz 27%, Habeck 27%, Weidel 15%, Scholz 14%, 10. 1.2025

Antwort auf die Antwort:

Sehr geehrter Herr Hagedorn,

vielen Dank für Ihre Antwort.

Ihre Aufforderung an Habeck, sich mit Alice „Hitler war Kommunist“ Weidel an einen Tisch zu setzen, sollte spätestens seit Weidels Interview mit Musk Makulatur sein.

Wenn die Realität sich ändert (Habeck weit beliebter als Scholz, Grüne Umfragewerte in der Höhe der SPD, Weidel bezeichnet Hitler als Kommunisten) sollten auch Abwägungen überdacht werden.

Von Habeck zu erwarten, dass er sich mit Weidel an einen Tisch setzt, die offensichtlich Taubenschach¹ spielt, war schon vorher ein schlechter Scherz.

Mit freundlichen Grüßen
Arne Babenhauserheide

¹ Die Taube stößt alle Figuren um und kackt aufs Schachbrett.

Kommentar zum Heise-Artikel über Supply-Chain Angriffe über npm auf Ethereum-Entwickler.

BSI IT-Grundschutz CON.8.A6 einzuhalten hätte geholfen

Unter IT’lern meckern wir ja gern über Behörden, aber sich an den BSI IT-Grundschutz zu halten, hätte die Angriffe verhindert:

CON.8.A6 Verwendung von externen Bibliotheken aus vertrauenswürdigen Quellen (B)

Wird im Rahmen des Entwicklungs- und Implementierungsprozesses auf externe Bibliotheken zurückgegriffen, MÜSSEN diese aus vertrauenswürdigen Quellen bezogen werden. Bevor externe Bibliotheken verwendet werden, MUSS deren Integrität sichergestellt werden.

npm selbst — wie auch viele Entwicklungsumgebungen — macht es leider schwierig, sich daran zu halten. npm i ist gefährlich.

⇒ IT-Grundschutz-Bausteine (inklusive CON)

⇒ Download CON_8_Software_Entwicklung_Edition_2023.pdf
Es gibt weitere Grundbausteine (z.B. APP)

Wobei es auch in Software Verbesserungen gibt: maven (Java) hat seit zwei Jahren endlich mit Maven Lockfile ein Plugin, um die Integrität von Abhängigkeiten zu prüfen. Darauf habe ich ein gutes Jahrzehnt gewartet (und fand es immer krass, dass bei dem Industriestandard Maven so etwas grundlegendes fehlte).

Ich vermute, dass ein Einhalten des BSI IT-Grundschutzes als Vorraussetzung da einen Anteil daran hatte.

Eigentlich müsste für eine sinnvolle technische Unterstützung der öffentliche Schlüssel von Paket-Veröffentlichenden geprüft werden.

Privat verwende ich als Distribution Guix, bei dem die Integrität der gesamten Lieferkette bis auf minimale bootstrap-binaries bei jedem Build geprüft wird (und ich hoffe, dass die vertrauenswürdigkeit der Quellen geprüft wird, wenn Pakete erstellt werden), aber das kann ich nicht von allen Kolleg:innen erwarten.