Anbieter von Websites, die extern eingebundene Google Fonts verwenden ohne zuvor die Einverständniserklärung des Besuchers eingeholt zu haben, verstoßen gegen die DSGVO und machen sich Schadensersatzpflichtig. Das sagt das Münchner Landgericht in seinem Urteil vom 20.01.2022 (Aktenzeichen 3 O 17493/20). Die Mär vom berechtigten Interesse Das pauschale Abbügeln mit einem berechtigten Interesse ist …Weiterlesen

Die Tage erhielt ich eine Einladung als Referent auf einer IT-Security Veranstaltung zu sprechen. Die Veranstaltung ist bundesweit aufgestellt und durchaus attraktiv in Hinblick auf die mediale Sichtbarkeit und dem Line-Up an Themen und der versammelten Menschen. Das Who-is-Who der Branche. Die Sache entwickelte sich vermutlich aufgrund meiner bissigen Kommentare zunächst flapsig, spontan in einem …Weiterlesen

Dem Tracking nach war der Weg von China via Holland bis zum Zoll schneller als der weitere Weg innerhalb Deutschlands. Offensichtlich war dieser nicht frei von Irrungen und Wirrungen. Vorgestern war es endlich soweit: Das neue Pinephone-Case mit Tastatur und Akkubank lag vor mir. Eine Bedienungsanleitung fehlte, ist aber auf der noch im Aufbau befindlichen Wikiseite zu haben. Dort habe ich mehr …Weiterlesen

Vor zwei Jahren hat der bekannte Google Project-Zero Sicherheitsforscher Tavis Ormandy ein kleines Script mit dem Namen cefdebug geschrieben. Gedacht für alle Anwendungen, die zur Darstellung von Webseiten die Chrome Engine (CEF) oder das Framework Electron einsetzen. Böse formuliert ist Electron das neue Flash. Eingesetzt von hippen (Web-)Entwicklern, die sich um die Konsequenzen und Tragweite …Weiterlesen

Wer dachte, das fiese Jahr 2021 sei vorbei und Printnightmare vergangen, der hat nicht mit dem Potential von Microsoft gerechnet. Eine neue Sicherheitslücke betrifft alle RDP/RDS-Terminaldienste seit mindestens Windows Server 2008. Jeder kann unprivilegiert ohne viel Aufwand bei anderen in eine Sitzung eingreifen, in die Zwischenablage schauen und auf Dateien und Laufwerke bis hinunter auf die …Weiterlesen

Hinter der unscheinbaren Bezeichnung CVE-2021-44228 versteckt sich eine schwerwiegende Schwachstelle in der Java-Komponente Log4J. Der Fehler besteht darin, dass diese Logdaten nicht nur liest oder schreibt sondern auch interpretiert und Anweisungen zum Nachladen von Programmcode ausführt. So wird aus einer Logzeile ein Programm, das im Kontext der jeweiligen Software, des Dienstes oder Anwenders …Weiterlesen

Heute hat das VG Wiesbaden bekannt gegeben, im Eilverfahren der Hochschule Rhein-Main die Nutzung von Cookiebot untersagt zu haben (Az.: 6L 738/21.WI). Der dänische Anbieter hinter Cookiebot ist in der Branche kein Unbekannter und wirbt mit dem windigen Versprechen, DSGVO-konforme Cookie-Zustimmungen von Website-Besuchern einzuholen. Kompletter Humbug wie das Gericht treffend feststellt: Cookiebot …Weiterlesen

Getreu dem Motto: Tue Gutes und erzähl’ davon habe ich heute jeweils 100,- EUR an noyb.eu und das ipfire.org Projekt gespendet. Weitere 100 USD gehen an das Debian-Projekt, was nach Paypal knapp 93,- EUR entspricht. Bitte versendet keine Weinflaschen, Tassen oder Kugelschreiber. Unterstützt besser freie Software und die Menschen hinter den Projekten mit einer Spende. In diesem Sinne, Euer …Weiterlesen

Vor einigen Monaten habe ich von kyrillischen Buchstaben in Spam- und Phishingmails geschrieben, die leicht mit unseren lateinischen verwechselt werden können. Diesen Gedanken haben Ross Anderson und Nicholas Boucher in Ihrem Paper “Trojan Source: Invisible Vulnerabilities” weiter ausgeführt und auf diverse Compiler, Editoren und Tools in der Softwareentwicklung geschaut. Das Ergebnis …Weiterlesen

Eine bisher mir unbekannte App habe ich beim Stöbern im Nextcloud App-Universum entdeckt. Selten schafft es etwas so schnell in meine produktive Toolchain. Die App hat den schlichten Namen “Edit Files with LibreOffice” und macht genau das. Nach der Installation erscheint im Web-Frontend nur ein unscheinbarer Eintrag im Kontextmenü eines Office-Dokuments. Das reicht zum Überwinden einer …Weiterlesen