/srv/irclogs.ubuntu.com/2018/01/22/#ubuntu-de.txt

ircfanliegt das am "screen" wenn irssi keinen zeilenumbruch macht?00:07
=== vitus_ is now known as vitus
=== tb is now known as Guest31186
steviehmoin07:29
dadrcselber07:30
steviehich versuche zu verstehen, wie das mit dem logging ist: wenn ich nen deamon sagen wir auf info oder debug ziemlich geschwätzig mache, dann erzeugt das doch schon eine wesentlich höhere last, wenn ich das über syslog mittel an / ab oder umlenke als wenn ich das dem deamon selbst sage? 07:30
steviehd.h. eigentlich sollte ich das alles mit syslog mitteln machen, aber frisst das nicht performance?07:31
dadrcDas Problem in dem Fall ist quasi immer I/O, würd ich behaupten07:31
dadrcUnd ob nu syslog oder der daemon selber das macht, naja07:31
dadrcBei syslog weiß man immerhin, dass das halbwegs optimiert ist07:32
steviehnaja, ich kann ja dem deamon sagen, dass der erst ab nem gewissen loglevel loggen soll, dann macht der gar kein IO mehr.07:32
dadrcBei vielen selbstgebauten Logframeworks, die da draußen so rumfliegen, wäre ich mir nicht so sicher07:32
dadrcAch so … jo, das ist schon sinnvoll07:32
steviehich befürchte auch.07:33
steviehschade eigentlich.07:33
dadrcGibt's bestimmt was von systemd für07:33
dadrcsystemd-logleveld oder so07:33
steviehhmm... nicht, dass dann plützlich alle deamons den kasten mit debug zukackern07:35
dadrcWar auch eher Geläster07:35
steviehah07:38
empedokles78Gibt es bei der Verwendung von Passwortmanagern ein Sicherheitsrisiko aufgrund der Lücken die kürzlich auf Prozessorebene festgestellt wurden?09:59
ircfanwenn die sicherheitslücke eine root shell ermöglicht sind die passwörter dahin würde ich sagen10:13
LetoThe2ndhat nur eins mit dem anderen nix zu tun :-)10:17
ircfandas würde ich so nicht sagen10:17
LetoThe2nddoch. spectre und meltdown haben als ziel nämlich keine codeausführung, sondern data access.10:18
ircfandu kannst doch nicht sagen "doch" wenn ich sage _ich_ würde es so nicht sagen10:18
LetoThe2nddann sag ich halt nicht "doch"10:18
LetoThe2ndaufgrund der tatsache dass sich die originale frage allerdings spezifisch auf die "kürzlich gefundenen lücken auf prozessorebene" (a.k.a. spectre und meltdown) bezog, und nicht auf "irgendwelche sicherheitlücken", besteht nach aktueller erkenntnis kein zusammenhang mit einem rootshell-exploit.10:20
LetoThe2nd(siehste, ganz ohne "doch". goil!)10:20
ircfandu liebe güte :)10:20
ircfanwieviel mühe sich manche leute geben den längeren zu haben10:21
verdooft:D10:21
empedokles78lässt sich das einfacher erklären? wohin wird das passwort des passwortmanagers geladen?10:56
koegsin den speicher, wie quasi jedes programm11:00
koegsaber es ist kein größeres Risiko als ein Passwort direkt einzutippen, imho11:01
LetoThe2ndempedokles78: theoretisch: über die lücken kann buchstäblich jede information ausgelesen werden. praktisch: kein realer unterschied zu vorher, egal ob mit oder ohne passwort-manager.11:01
empedokles78koegs, und wo liest die sicherheitslücke etwas aus? (wenn ich es direkt eintippe ist's nicht mal im speicher oder doch?)11:04
LetoThe2ndempedokles78: wenn dus auf ein blatt papier schreibst ist es nicht im speicher. wenn du es eintippst, ist es auch im speicher.11:05
LetoThe2ndnur weil eine webseite anstatt buchstaben punkte oder sternchen anzeigt, ist das passwort ja trotzdem da. nur halt nicht auf dem bildschirm.11:05
empedokles78LetoThe2nd, okay, also kann jetzt eigentlich doch alles ausgelesen werden?11:08
LetoThe2ndempedokles78: ja.11:08
LetoThe2ndaber im gegensatz zur allgemeinen meinung ist das kein unterschied zu vorher :-P11:08
empedokles78zu vor spectre/meltdown?11:09
LetoThe2ndund auch zu nachher.11:09
empedokles78warum?11:09
LetoThe2ndwenn du ein sicheres system willst, ausschalten und stecker ziehen.11:09
empedokles78;)11:09
DaVuLetoThe2nd: nicht falsch verstehen...erleuchte mich..in wie fern hat "data access" nichts mit dem Auslesen von Paswörtern zu tun?11:10
LetoThe2ndDaVu: hat es.11:10
DaVuah, ok..dann habe ich es missverstanden. sorry ;911:10
DaVu;)11:10
LetoThe2ndDaVu: aber data access hat nichts mit starten einer root shell zu tun.11:10
DaVukönnte es aber11:11
DaVualso vom Prinzip her11:11
DaVuDie Gedanke hinter "data access" ist wahrlich ein anderer. Aber um alle data accessen zu können, brauche ich halt auch ggf. root11:12
LetoThe2ndDaVu: jein. indirekt ja, aber nicht als hauptkonzept. es würde bedingen dass das rootpasswort irgendwo eingetippt bzw. im speicher liegt.11:12
DaVues liegt sogar in einer Datei vor11:12
DaVushadow11:12
LetoThe2ndDaVu: der witz an spectre/meltdown ist ja eben dass du buchstäblich alles im ram lesen kannst, ohne eben root zu sein.11:12
DaVuah, ok. Jetzt kommen wir der Sache näher. 11:13
verdooftWobei das user-Passwort meistens reicht, wenn der User sudo kann.11:13
DaVu^^ auch richtig11:13
DaVudann habe ich aber ohnehin am System gespielt11:13
LetoThe2ndDaVu: nope, in der shadow liegt die verschlüsselte variante. und noch dazu datei != ram11:13
DaVuja, richtig, LetoThe2nd11:13
DaVues ist verschlüsselt..aber mal ehrlich. Ein Kiddie mit nem Kali liest das aus11:14
LetoThe2ndDaVu: du sprichst schlicht und ergreifend von was völlig anderem als die frage war.11:14
DaVuaber, ja. Ich verstehe und ja, es ist was anderes als die Fragestellung, da gebe ich dir Recht ;)11:14
DaVumea culpy11:14
DaVuculpa11:14
LetoThe2nd:-)11:15
empedokles78inwiefern konnte das jetzt vor meltdown ausgelesen werden?11:15
DaVuder ram ohne root?11:16
DaVuich vermute so einfach gar nicht11:16
DaVuaber ich bin auch kein pentester11:16
empedokles78der ram, weil ja Leto gesagt hat, das wäre gleich wie jetzt mit spectre.11:17
LetoThe2ndempedokles78: gesunder menschenverstand. software hat bugs, und nur weil gerade zwei lücken coole namen haben und in den nachrichten sind, heisst es nicht dass da nicht noch ungefähr 289467 andere sind.11:17
empedokles78ah, so ist's gemeint, gut.11:18
LetoThe2ndempedokles78: wenn du dir mal zu gemüte führst wie mühelos so in etwa alles geknackt wird, z.b. im rahmen von Pwn2Own, kannst du davon ausgehen dass es eingeschaltetes und mit dem netz verbundenes system jederzeit kompromittierbar ist, wenn es ein angreifer wirklich darauf abgesehen hat.11:18
DaVuDer unterschied zu vorher mag gewesen sein, dass es jetzt über eine Lücke im CPU ging und nicht eine verbuggte zusätzliche Software benötigte oder einen Overflow oder eine Code-Infection oder oder oder11:19
LetoThe2ndDaVu: hach, cpus hatten vorher auch schon bugs und werden nachher auch wieder welche haben.11:19
DaVunatürlich11:19
DaVuWie du schon sagst. Es ist jetzt eine (vielleicht) große bekannt geworden. Man sollte aber nun auch nicht paranoid werden11:20
LetoThe2ndder einzige unterschied zu den sonstigen "verwundbarkeiten" ist der coolere name. ach nein, zweiter unterschied: die art und weise wie es publik geworden ist.11:20
DaVuWie mit einem Fahrwerk am Auto...So weich wie möglich und so hart wie nötig ;)11:20
verdooftFefe hat mal drüber geblockt und gemeint, er hat es nicht hinbekommen, was auszulesen.11:20
verdooftgebloggt. :D11:20
LetoThe2ndverdooft: wobei die aussagekraft davon so in etwa 0 ist.11:21
verdooftDrum wird das mit Javascript im Browser auch nicht so einfach sein.11:21
verdooftLetoThe2nd: Ich finde es schon bisschen beruhigend, dass es nicht jeder so einfach hinbekommt, durch die Lücke an Pws und anderes vertrauliches zu gelangen.11:24
LetoThe2ndverdooft: ebenfalls kein wirklicher unterschied zu den meisten anderen bugs :)11:25
LetoThe2ndhier, damit alle paranoiker nicht in unterzucker kommen: https://skyfallattack.com/11:25
le_botTitle: Skyfall and Solace (at skyfallattack.com)11:25
DaVues kommt ein wenig darauf an, wen man mit "jeder" meint und wieviele es tatsächlich können, aber einfach die Klappe nicht aufreißen ;)11:25
verdooftSoweit ichs bisher sehe, ists Hauptproblem auf Clientrechnern (auf denen man nicht x beliebige Programme ausführt) Javascript, müsste man dieses Ram auslesen nicht einfach in den JS Bibliotheken rausnehmen und schon wäre es sicher(er)? Ok, vielleicht könnte man die Funktion dann weiter in JS nachbauen, keine Ahnung.11:27
empedokles78Wie funktioniert so ein passwortmanager in der praxis? Wenn ich das masterpasswort eingebe, muss ich dann jeweils das gesuchte passwort kopieren? Ich schreib bis jetzt noch alles schriftlich auf.11:32
DaVuMein Passwortmanager sitzt auf meinem Hals ;)11:32
steviehdas ist der schlechteste11:32
steviehempedokles78: installier dir einfach mal keepass11:33
DaVuinwiefern ist das der schlechteste?11:35
DaVuIch würde mal behaupten, dass das der beste ist11:35
steviehwegen der mangelnden kapazität :-) wieviele passwörter willste dir da merken?11:35
empedokles78davu, das ist aber nicht realistisch oder? man sollte ja nicht immer dasselbe passwort verwenden.11:35
steviehok, kannst dir auch algorithmen merken...11:35
DaVuempedokles78: mach ich nicht11:36
DaVustevieh: so 12 bis 14 sind es bestimmt11:36
DaVuich müsste jetzt nochmal nachzählen11:36
empedokles78DaVu, das sind nicht sehr viele websites.11:36
empedokles78das kommt praktisch nicht weit.11:36
DaVudas ist richtig...aber für mehr brauche ich auch keine Passwörter11:37
steviehich wollte nicht mehr ohne pw manager leben.11:37
DaVuMan braucht ja nicht für jede Website ein Passwort11:37
DaVuund weiter muss man überlegen, wie wichtig passwört wo sind und wie wichtig mir der Account ist. soll doch ruhig jemand das Passwort meine Ubuntuusers-Account rausfinden...juckt mich nicht11:38
empedokles78aber ca. 40 sind's bestimmt, wenn man sich das einmal zusammen zählt.11:38
DaVuFür die wirklich relevanten Dinge habe ich entsprechende Passwörter11:38
DaVualles andere ist Spielerei, deren Relevanz nicht so hoch ist11:38
DaVuAber das macht ohnehin jeder anders11:39
empedokles78zeichenfolgen à la #Skw8*ks ? :)11:39
DaVuso kryptisch nun nicht, das gebe ich zu, dafür aber lang genug ;)11:39
Lembert1Hallo, seit meinem Update auf die aktuelle Ubuntu Version vor paar Tagen funktionieren in meinem Browser (Vivaldi) eingebettete Videos nicht mehr zum abspielen. Ich weiß jetzt nicht ob das am Browser oder am Ubuntu liegt, aber ich würde das wieder gern ändern. Bisher hat das sonst immer geklappt. Wo kann ich da ansetzen?11:41
verdooftHallo Lembert1, ich kenne Vivaldi nicht, würde aber erstmal die Einstellungen durchsehen.11:46
verdooftGeht es da nur um Flashvideos oder auch um HTML 5 Videos auf Youtube?11:48
=== Jochen_wvdT is now known as Schlawiner
empedokles78DaVu, na' wenn es 14 passwörter sind, ist es immer noch beachtlich. mein hirn entspricht ja eher dem modell eines löchersiebs. :)12:34
Fusseljoa, muss man halt in dem "sieb" ecken einrichten in denen es nicht durchsabbert, ich orientiere mich da an zimmereinrichtungen die ich sehe wenn ich mich in demjenigen raum einmal drehe12:38
empedokles78Fussel, das ist etwas ähnlich, als würdest du das passwort an den monitor kleben. :)13:32
Fusselwiso, was verrate ich dir da, wenn ich verate das ich n bett und ne lampe habe?13:34
Fusselich bentze es speicherort, ok, wäre ein angriffspunkt, bringt nur nix, wenn nedmal weiß ob überhaubt da was liegt13:36
Lembert1verdooft, es geht auch um youtube13:36
Fusselund das alles nur im schädel... also muss da gutes watterboarding oder so her13:37
dadrcLembert1: welches Ubuntu, welche Vivaldi-Version?13:39
Lembert1alles aktuell13:42
dadrc… es gibt 3 "aktuelle" Ubuntuversionen13:42
dadrc14.04, 16.04 und 17.1013:43
Lembert1Vivaldi1.14.1072.3 ubuntu 17 1013:43
dadrchmmh. was genau passiertn? siehst du die vorschaubilder bei youtube?13:45
Lembert1"Dein Browser erkennt zurzeit keines der verfügbaren Formate"13:46
Lembert1mehr steht da nicht13:47
Lembert1die Vorschaubilder seh ich13:47
verdooftEinen Scriptblocker verwendest du nicht zufällig, Lembert1?13:47
dadrcWollt sagen, das klingt nach geblocktem Javascript13:47
Lembert1ublock origin und ghostery13:48
Lembert1habs ausgemacht, neu geladen, selbes ergebnis13:48
Lembert1im chrome funktionierts13:49
Lembert1im ff kommt nur der ladekreisel13:49
verdooftHm, wenn ich in uMatrix mal was ausschalte, reicht die Neuladenfunktion der Erweiterung manchmal nicht, da muss ich direkt im Browser Neuladen. Ich würde mal testweise die Erweiterungen komplett deaktivieren.13:52
verdooftuMatrix habe ich so scharf eingestellt, dass ich selbst CSS explizit erlauben muss, allerdings habe ich für Youtube permanente Regeln gesetzt.13:52
verdooft(die für die Funktion der Seite notwendig sind)13:53
moveaxeinfach im ff mal ein neues profil anlegen "firefox -p"13:53
moveaxund schauen ob es im neuen profil geht, wenn ja ist es eine deiner erweiterungen13:54
verdooftGeht um Vivaldi eigentlich.13:54
moveaxah13:54
moveaxselbes spiel13:54
deemkann man feststellen, warum systemd bzw der dhclient vpn einem DHCPACK zu einem "bound" der ip auf das interface "zu lange" braucht? das sind, laut log 1 sekunde verzögerung und in genau dieser sekunde startet zb der ssh daemon, der dann in einen failed state wechselt, weil er an kein interface binden kann13:54
Frickelpitdeem: journalctl oder systemctl status, ggfs systemd-analyze critical-chain13:55
Frickelpitsystemd-analyze kann dir auch ein bootchart malen mit plot und dann in ein foo.svg umleiten13:56
deemöhm... systemd-analyze listet den sshd gar nicht13:57
Frickelpitklar, wenn der failed beim boot13:58
deemtut er ja nicht. er braucht einfach nur ne sekunde länger13:58
Frickelpitguck mal, ob der enabled ist mit systemctl is-enabled sshd.service13:58
verdooftMan kann auch in den service-Dateien rumpfuschen und festlegen, was nach wem startet, musste ich aber nur einmal bisher. After=network.target13:58
Frickelpitansonsten müsstest du den anpassen13:58
deemder ist aktiviert. er versucht ja auch zu starten, geht halt nur kaputt, weil er kein netzwerk hat13:58
Frickelpitdann anpassen, siehe verdooft 13:59
Frickelpitsystemctl cat sshd.service zeigt dir die jetzige Config an13:59
verdooftDa stehts bei mir schon drin, unangepasst.14:00
verdooftVielleicht zählt der VPN Kram nicht zu diesem Networktarget.14:00

Generated by irclog2html.py 2.7 by Marius Gedminas - find it at mg.pov.lt!