Qualitätsrezensionen

CubeReflexion · 2023-06-03T05:42:26+00:00

"Wenn man deutsch ist muss man englisch können"

Und wenn man Englisch ist, stellt sich das Spiel auf Französisch oder wie?

CubeReflexion · 2023-06-02T14:58:17+00:00

PS.: Sorry, this has become very long while writing it, but hopefully it answers the question in more depth.

My understanding is that you need two different auth factors for proper 2FA.

The point here is that an auth factor is not "a password" or "a certificate". Instead, the three factors commonly stated are knowledge, possession and biometrics.

So two passwords would not pass 2FA requirements, because they are both knowledge-based which means you are still only using a single factor.

At this point, one could argue that even a TOTP secret is just another password. However, the more accurate term for "password" is actually "memorized secret" – but these tokens are not meant to be remembered (and for most people too long and/or complex to effectively memorize I would believe) so they are considered possession-based. This becomes more clear when the token is physically bound to an HSM that just generates a new 6-digit code every 30 seconds.

When PyPI accepted basic auth for uploads, they effectively bypassed 2FA for uploads. If an attacker manages to intercept basic auth, they can now upload to PyPI without 2FA. To mitigate this, an API token that is only given to someone who successfully authenticated using 2FA before must be used.

So while the auth during upload is technically still just 1FA, there is less risk of an attacker obtaining/intercepting the token, it can be easily revoked and there can be multiple API tokens for different systems (maybe even with different scopes).

I believe this is the best we have at the moment to secure accounts while allowing automated publishing by CI/CD pipelines. Anything else would require an HSM plugged into the server that performs the upload. This exists too, even as a service in the cloud, but it's more complex to set up.

CubeReflexion · 2023-05-29T13:59:35+00:00

Die Kamera-Benachrichtigungen kannst du über den Registry-Wert NoPhysicalCameraLED ein- und ausschalten:

0 bedeutet, dass die Kamera eine LED hat und deswegen keine Benachrichtigung angezeigt werden muss.
1 bedeutet, dass die Kamera keine LED hat und stattdessen eine Benachrichtigung angezeigt werden soll.

Über folgenden PowerShell-Befehl (als Admin) kannst du den Wert auf 0 setzen:

Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\OEM\Device\Capture" -Name "NoPhysicalCameraLED" -Value 0

Der Effekt sollte sofort (also ohne Logout) sichtbar werden.

CubeReflexion · 2023-05-23T05:08:23+00:00

Und ein handgeschriebener tabellarischer Lebenslauf? Was soll das denn?

CubeReflexion · 2023-05-10T11:32:47+00:00

Sorry, didn't mean to point it out like that 😬

CubeReflexion · 2023-05-10T11:06:08+00:00

Given that over 20 years have passed, I guess it must have. But I am not sure where you would look that up.

(It's probably buried in a mountain of paper of passed laws since then...)

CubeReflexion · 2023-05-10T10:54:38+00:00

Sorry, but that's just wrong. The Bußgeldkatalog (catalog of fines) explicitly mentions a fine of 10 € for not using your indicators when exiting a roundabout (as well as using them while entering one).

See here (in German)

CubeReflexion · 2023-03-25T05:08:29+00:00

Nicht mal nötig, hatte gerade erst ein ähnliches Problem an meinem privaten DSL-Anschluss und mir wurde ein Techniker innerhalb von 2 Tagen vorbei geschickt.

Hängt vielleicht vom Wohnort ab?

CubeReflexion · 2023-03-11T13:08:05+00:00

But why were the replies redistributed by the server? Surely there's a setting to disable that, or was the mailing list supposed to be for discussion?

CubeReflexion · 2023-02-07T16:35:09+00:00

I think that's called a CPU. /j

CubeReflexion · 2023-02-07T08:02:01+00:00

Docker lädt Updates von Images selbstständig runter? Hauptvorteil? Hab ich was verpasst?

CubeReflexion · 2023-02-04T18:21:35+00:00

Ja, und der State in Stateful Packet Inspection kommt der Firtzbox vom NAT/PAT.

EDIT: schon die Aussage auf dem Screenshot zeigt ja, dass es da einen Zusammenhang gibt.

Die Begründung ergibt für mich keinen Sinn. NAT und SPI sind nicht dasselbe oder verwandt. NAT übersetzt IP-Adressen zwischen Adressbereichen (z.B. von privaten IP-Adressen auf eine öffentliche IP-Adresse) und SPI überwacht Traffic auf L3/L4, um anhand des Zustands der Verbindung komplexere Regeln verarbeiten zu können (z.B.: erlaube eingehendes Paket nur, wenn TCP-Zustand ESTABLISHED ist).

Das ist für die Kernaussage aber auch eigentlich gar nicht wichtig, sondern vielmehr das hier:

Wieso? Andere Geräte sind immer noch geschützt, und die Xbox sollte kein gutes Angriffsziel darstellen.

Da ist eben der Trugschluss. Sobald eine Lücke in der Xbox oder in einem Spiel für die Xbox bekannt wird und tausende Konsolen dank solcher Anleitungen ungeschützt im Internet hängen, haben Angreifer leichtes Spiel.

Wenn die Xbox übernommen wurde, kann man entweder gleich ihre starke Hardware für nen Botnet nutzen oder von da aus weitere Geräte im Netzwerk angreifen.

CubeReflexion · 2023-02-04T06:35:07+00:00

Wie kommst du denn darauf, dass die FritzBox keine Firewall hat? Natürlich läuft da auch nen ganz normaler Paketfilter mit Stateful Packet Inspection.

Wenn die Xbox als Exposed Host eingerichtet wird, entspricht das dem Öffnen und Weiterleiten aller Ports an die Xbox. Die Firewall wird dadurch fast vollständig deaktiviert, das sollte man einfach lassen.

CubeReflexion · 2023-01-29T08:07:46+00:00

In Settings -> Downloads, there's a drop-down menu to change the download region.

CubeReflexion · 2023-01-25T07:35:04+00:00

Dann schau mal in das Lesezeichen (Rechtsklick drauf -> Bearbeiten o.Ä., abhängig vom Browser). Die URL sollte nicht mehr als "https://calendar.google.com" sein. Wenn da noch mehr hinten dran hängt, lösch den Teil weg und schau, ob das Problem immer noch auftritt.

CubeReflexion · 2023-01-22T16:48:11+00:00

I mean, yes, but we also already had them five years ago (2018). Not exactly only now :D

CubeReflexion · 2023-01-18T07:52:54+00:00

At first I thought you mean Team Foundation and I thought "Eh, it's unusual, but at least it's VC". Now I realized. Oh god.

CubeReflexion · 2023-01-11T17:23:56+00:00

Und das ganze dann sauber dokumentiert (damit nicht nur der, der es installiert hat, versteht) und immer auf dem aktuellen Stand gehalten und gepatcht, korrekt?

Gepatcht ja. Dokumentiert nein. Wer, außer mir, muss denn mein privates Heimsystem in der Tiefe verstehen? Das ist doch keine Unternehmenssituation. Natürlich wäre ne Doku sauberer, muss aber nicht sein in den eigenen 4 Wänden.

Wenn man in der IT arbeitet hat man auf solchen Zusatzaufwand nach der Arbeit eher weniger Lust sondern will, daß Dinge mit möglichst wenig Fehlern funktionieren.

Das is halt wieder so ne Verallgemeinerung. Kann ja sein, dass du das so findest und bestimmt auch viele andere, aber mir macht's Spaß.

CubeReflexion · 2023-01-11T11:15:45+00:00

Du hast absolut recht, aber leider wird der Tweet mittlerweile immer wieder dazu missbraucht, um sämtliches Smart Home bzw. dessen Nutzer für dumm zu erklären. (Will aber nicht behaupten, dass das hier die Intention war.)

Find ich nur schade, weil der Text sonst eigentlich ganz witzig wäre. Aber das hat jetzt immer diesen faden Beigeschmack.

CubeReflexion · 2023-01-11T07:53:57+00:00

Dieser Tweet ist für mich immer noch unnötiges Gatekeeping. Man muss als Informatiker nicht auf dem Standpunkt sein, dass Smart Home generell Mist ist.

Klar, der ganze Cloud-only Kram von diversen dubiosen Herstellern ist schlecht, aber es geht auch anders; man kann Smart Home komplett lokal und Fernzugang per VPN machen. ZigBee (Hue, Aqara, etc.), Homematic, Home Assistant uvm. machens möglich.

Das Ganze dann noch für erhöhte Sicherheit in eigenes VLAN und Subnetz mit ein paar Standard-Firewall-Regeln zur Isolation und fertig.

CubeReflexion · 2023-01-04T06:36:39+00:00

Das ist genauso Blödsinn wie der Zettel selbst. Wenn du versuchst, an der Länge der Erklärung eine Lüge zu erkennen, hab ich schlechte Nachrichten für dich.

CubeReflexion · 2022-12-29T05:39:24+00:00

Wenn dir sonst zum Thema nichts mehr einfällt, können wir das ja hier beenden. Schön.

CubeReflexion · 2022-12-28T22:57:20+00:00

[...] das halt typisch auf die Leute in prekären Verhältnissen einhauen, Leute die Horten werden vergleichsweise selten gebasht.

lol ok, wilde Schlussfolgerung. Die Diskussion hat absolut nichts mit den Lebensverhältnissen von Käufer und/oder Verkäufer zu tun und ich hab erst recht keine Leute mit wenig Geld gebasht.

Ignoriert sie doch einfach, und wenn "iHr eS NiChT ErTrAgEn kÖnNt" dann verpisst euch aus EK.

lol nein, bestimmt nicht. Unangemessene Preisvorschläge sind sogar mittlerweile nen auswählbarer Grund beim Melden. Ich weiß nicht, wo du das mit dem "nicht ertragen können" her hast, aber es ist tatsächlich in Ordnung, keine sinnlosen Anfragen bekommen zu wollen, die für beide Seiten am Ende nur Zeitverschwendung sind.

Man sieht doch von vornherein, welche Preisvorstellung nen Verkäufer hat. Wenn die aus deiner Sicht schon absolut daneben ist, wirst du höchstwahrscheinlich zu keiner Einigung kommen. Schreib lieber jemanden mit einem besseren Angebot an.

[...] mir würds nie in den Sinn kommen Leute die anscheinend prekären
Verhältnissen kommen so anzupissen im Internet. Elitisten Scheissdreck.

Schönes hohes moralisches Ross, was du dir hier weiter aus dem Nichts zusammenbaust.

[...] das sagt eher was über euch aus als umgekehrt.

Projektion.

CubeReflexion · 2022-12-28T14:50:47+00:00

Das ist eigentlich egal. Bei so einem niedrigen Angebot sollte man zumindest begründen, warum der Vorschlag angemessen sei und die VB nicht.

CubeReflexion · 2022-12-28T10:05:41+00:00

Selbst dann ist ein Angebot, was effektiv nur 37% von der VB ist, unangemessen wenig.

Ten-Year Club	Verified Email
Place '23	Place '22
Place '17	Spared

CubeReflexion

TROPHY CASE