Open Source

Schon seit lan­ger Zeit gehen mir man­che, vie­le OSS-Ver­tei­di­ger auf die Ner­ven, ein­fach weil sie (also die, die mir auf die Ner­ven gehen) kom­plett blau­äu­gig sind.
Da wird ad infi­ni­tum wie­der­holt: “OSS ist bes­ser, weil da jeder in den Quell­code rein­se­hen kann und jeder den Code ver­bes­sern kann.”
Ja, natür­lich stimmt das — nur macht es den Code nicht bes­ser, solan­ge es nicht auch pas­siert. Karl Marx, elf­te Feu­er­bach-The­se: “Die Phi­lo­so­phen haben die Welt nur ver­schie­den inter­pre­tiert, es kommt aber dar­auf an, sie zu ver­än­dern.” Mit ande­ren Wor­ten: vom blo­ßen Rein­se­hen ändert sich gar nichts.
Und schließ­lich muß man auch kom­pe­tent sein. Hat­te Open­BSD eine FBI-Back­door im IPSEC? Am Ende hat man sich wohl auf “Wir haben jeden­falls nix gefun­den” geei­nigt. Und wer sagt, daß das Debi­an-Desas­ter mit vor­her­seh­ba­rem Zufall in open­s­sl heu­te unmög­lich ist? Heartbleed?

Ich kom­me dar­auf wegen Squid. 35 Zero­days seit Jah­ren!!! Und war­um? Darum:

Howe­ver, they (das Squid-Team) are effec­tively under­staf­fed, and sim­ply do not have the resour­ces to fix the dis­co­ver­ed issues.

Nun hat hier jemand mit sehr viel Ahnung sich den Code nicht nur ange­se­hen, son­dern ihn auch begut­ach­tet. Bugs sogar gemel­det — hat alles nichts genützt, bis heu­te schein­bar nicht. Was ist jetzt bes­ser? Ein squid mit 35 allen Bösen (TLAs, Blackhats) bekann­ten Zero­days, oder ein IIS mit 350 nur den TLAs und Micro­soft bekann­ten Zerodays?

Ein ande­res Pro­blem: Was, wenn die Sicher­heits­lü­cken in den Algo­rith­men lie­gen? Ein offe­ne­res Ver­fah­ren als die Kürung von NIST-Stan­dards kann es ja kaum geben — und doch war lan­ge Zeit auch den bes­ten Fach­leu­ten nicht klar, ob die NSA nicht in Dual_EC_DRBG eine Hin­ter­tür ein­ge­baut hat (sie hat es)
Habt ihr alle ed25519 reviewed? 😛
Und die Welt bricht gleich ganz zusam­men, wenn der Com­pi­ler Back­doors ein­baut. Da kann man dann noch so inten­siv es geht den Quell­text ana­ly­sie­ren — er wird kei­ne Back­door haben, jeden­falls nicht die, die der Com­pi­ler ein­ge­baut hat.

Open source ist nicht bes­ser als clo­sed source, nur weil sie open ist. Es muß sich jemand küm­mern, und ich bezweif­le, daß der Anteil der OSS-Ver­fech­ter, die wirk­lich a) in den Code gese­hen und b) ihn auch ver­stan­den haben, über der Meß­bar­keits­gren­ze liegt.
Oh, und: “Ja, aber bei clo­sed source weißt du gar nichts, kannst gar nichts wis­sen!” ist natür­lich rich­tig, aber What­a­bou­tism. Denn es ändert an Open source gar nichts, wenn Clo­sed source noch kaput­ter ist.

Einen Lösungs­vor­schlag habe ich auch nicht, aber viel­leicht dies: Dort, wo Soft­ware für die Infra­struk­tur essen­ti­ell ist (aus der Grab­bel­kis­te: open­s­sl, libcurl) soll­te der Staat Code Review und Pen­test­ing bezahlen.

Marc-Uwe Kling: Quality Land 2.0

Ein Kapi­tel habe ich mir ange­tan, das ers­te, mehr wer­den es sicher nicht werden.
Zuge­ge­ben: Ich habe noch nie was von ihm gele­sen, die Kän­gu­ruh­chro­ni­ken aber gehört, und das ist zum Schrei­en lus­tig. Qua­li­ty­land schwarz liegt als Holz­buch auf dem Schreib­tisch, aber ob ich da je rein­se­hen wer­de? Mei­ne Vor­ur­tei­le sind gewöhn­lich sehr robust…

Was stört mich? Der infan­ti­le, pen­nä­ler­haf­te Humor. Oh, das ist an vie­len Stel­len durch­aus wit­zig und niveau­vol­ler als deut­sche Come­dy, aber vie­le Wit­ze wer­den geris­sen, weil sie sich gera­de anbie­ten und Kling sie ein­fach nicht lie­gen las­sen kann. Das wirkt an vie­len Stel­len über­dreht auf mich.
Ich den­ke, auf der Büh­ne wird das, viel­leicht auch im Dia­log mit dem Publi­kum, wun­der­bar funk­tio­nie­ren. Viel­leicht auch wie­der als Audio­book, er liest ja höchst vergnügend.

Aber als Buch funk­tio­niert es für mich nicht.

Alter Mac, aktuelles OS

Mein Mac von 2014 wird schon lan­ge nicht mehr unter­stützt: https://support.apple.com/en-us/HT213772 — und doch hat er die letz­te MacOS Ver­si­on (Sono­ma), gera­de mal ein paar Tage alt:

Dan­ke, Open Core Lega­cy Patcher! Sieht so aus, als wür­de alles funktionieren 🙂 !

Natür­lich weiß ich, daß das mit Linux alles kein Pro­blem wäre — ich hat­te lan­ge genug ver­schie­de­ne Linuxen auf dem Desk­top — bis hin zu Com­piz mit drölf­zig Plug­ins, die wirk­lich geil sind. Und zum Arbei­ten völ­lig unnö­tig. Irgend­wann war ich es leid, nur noch zum Selbst­zweck Stun­den um Stun­den an einer gei­len Kon­fig zu schrau­ben, wo ich doch eigent­lich nur ein brau­che: einen Ter­mi­nal­mul­ti­ple­xer mit einem anstän­di­gen Terminalemulator.
Also MacOS mit Got­tes Ter­mi­nal: iTerm 😉
Und der iMac war damals preis­lich unschlag­bar, deut­lich güns­ti­ger als jeder ver­gleich­ba­re PC.

Vorfreude, schöne Freude

Ich freue mich auf anre­gen­de, ver­gnüg­li­che Lektüre.

 

Über das Buch

 

Wie ent­wi­ckeln Ver­schwö­rungs­theo­rien ihre erzäh­le­ri­sche Über­zeu­gungs­kraft? Wie hän­gen Fakt, Fik­ti­on und Fake News mit­ein­an­der zusam­men? Woher rührt die fas­zi­nie­ren­de Kraft des Häss­li­chen? Und was hat der Kli­ma­wan­del mit anti­ken Vor­stel­lun­gen des Katak­lys­mus zu tun?

Umber­to Ecos Arbei­ten zu Lite­ra­tur und Kunst, zu Geschich­te, Phi­lo­so­phie und Medi­en för­der­ten nicht nur immer wie­der über­ra­schen­de Ein­sich­ten und Quer­ver­bin­dun­gen zu Tage. Sie sind auch bis heu­te von fast ver­blüf­fen­der Aktua­li­tät und Rele­vanz. Auf den Schul­tern von Rie­sen nimmt sei­ne Leser mit auf eine ful­mi­nan­te Rei­se durch die Gedan­ken­welt des »Rock­stars unter den Intel­lek­tu­el­len«, wie der Spie­gel ihn einst nann­te. Der vor­lie­gen­de Band ver­sam­melt zwölf Vor­trä­ge, die Eco bis kurz vor sei­nem Tod in Mai­land gehal­ten hat und in denen noch ein­mal alle The­men auf­schei­nen, die zeit­le­bens im Zen­trum sei­nes wis­sen­schaft­li­chen, lite­ra­ri­schen und essay­is­ti­schen Schaf­fens standen.

Umber­to Eco, Auf den Schul­tern von Rie­sen, Carl Han­ser Ver­lag 2019

Die Nutzer sind zu bedauern

Heu­te sehe ich ein Help­desk-Ticket mit zwei Screen­shots darin.

Ja, das ist ein Extrem­bei­spiel für völ­lig sinn­lo­se Feh­ler­mel­dun­gen. SAP eben. Sowas dem Endu­ser zu zei­gen, ist eine Frech­heit sondergleichen.
Aber: Die Nut­zer schlu­cken es ohne zu meu­tern, weil sie es nicht anders ken­nen. Wer mit Win­dows auf­ge­wach­sen ist, hat eins ein­ge­brannt bekom­men: Soft­ware ist grund­sätz­lich kaputt, das ist eine Natur­kon­stan­te. Man kann Updates ein­spie­len (las­sen), aber das hilft nur tem­po­rär. Work­arounds sind Lösungen¹.
Und noch eins hat er ein­ge­brannt bekom­men: Ein Recht auf Sup­port durch den Her­stel­ler gibt es nicht. Hast Du Pro­ble­me mit Dei­nem Win­dows? Mußt Du goog­len! Mit SAP? Mußt Du goog­len, mög­li­cher­wei­se hilft Dir das Ergeb­nis aber nicht. Da kann man dann nichts machen, ist ein Softwareproblem.
Daß die­sel­be Soft­ware jedes Jahr teu­rer, aber nicht bes­ser wird — 🤷Wir las­sen uns Bil­lig­fleisch andre­hen, Bil­lig­mö­bel, Billigsoftware 🙁


¹ Krieg ist Frie­den! Frei­heit ist Skla­ve­rei! Unwis­sen­heit ist Stärke!

NordVPN auf dem Heimrouter

Da NordVPN (auch? was ist mit Wire­guard?) OpenVPN nutzt, könn­te ich das auf mei­nem 50-Euro-Rou­ter instal­lie­ren — und schwupps hät­ten sämt­li­che Cli­ents inklu­si­ve Wasch­ma­schi­ne und Kon­sor­ten einen VPN-Zugang ohne daß sie davon über­haupt etwas wüßten.
https://support.nordvpn.com/Connectivity/Router/1047410702/EdgeRouter-and-Ubiquiti-setup-with-NordVPN.htm

Und Fritz­box-Nut­zer kucken mal wie­der in die Röhre 😜