Tech'n Privacy

cross-posted from: https://lemmy.ml/post/6019673

Aus vergangener Zeit hatte ich noch zwei W-LAN Steckdosen der "Marke" Aisirer herumliegen, welche Software von Tuya verwenden. Da ich keine Smart Home Geräte verwenden möchte welche nur mit Cloud-Anbindung - und erst recht nicht mit zugehöriger Software aus China - funktionieren, habe ich recherchiert wie man den in den Steckdosen enthaltenen ESP flashen könnte.

Das erste Problem: Die neuen Modelle der Steckdosen nutzen gar keine ESP Module mehr. Glücklicherweise gehören meine Plugs nicht dazu.

Für manche (ältere) Tuya Geräte kann ganz einfach Tuya Convert genutzt werden um eine andere Firmware zu flashen. Damit ist kein löten notwenig.

Leider war die Schwachstelle, welche Tuya Convert ausnutzt, bei meinen Geräten schon geschlossen, weshalb doch nur noch löten blieb.

Das Tasmota Getting Started ist sehr ausführlich und bietet eine gute Grundlage. Gerätespezifische Daten wie beispielsweise das Pinout muss man aber anderweitig suchen, sofern das eigene Gerät nicht in der Liste bereits vorhanden ist. Erneut hatte ich Glück, denn in einem Issue #4286 hatte jemand anderes bereits genau mein Modell zerlegt und erfolgreich geflasht.

Zum flashen habe ich mich entschieden den Tasmotizer zu verwenden, da der Web Installer und die nötigen Berechtigungen sich nicht einig wurden. Einfach der Anleitung folgen, den aktuellen Tasmota Release ziehen und flashen.

Danach alles zusammen bauen und fertig. Beide Steckdosen funktionieren einwandfrei. Einziges Mankerl: Die Gewinde, welche die Plastik Abdeckung halten, sind sehr sehr empfindlich und brechen auch bei größter Vorsicht ab. Die Abdeckungen halten dennoch gut, auch wenn sie nur leicht, oder gar nicht mit Schrauben befestigt sind.

Die Steckdosen können nun über die HTTP API oder MQTT gesteuert und in Home Assistant eingebunden werden. Yay 🎉

Edit: Verwendeter USB-TTL Adapter -> Amazon Link

Info von der Website/Startseite

Liebe Studierende und Studieninteressierte, liebe Mitarbeitende der Hochschule Furtwangen,

leider ist unsere IT-Infrastruktur von einem Hackerangriff betroffen. Daher steht die gesamte IT-Infrastruktur der Hochschule derzeit nicht zur Verfügung. Dies beinhaltet auch die E-Mail-Kommunikation sowie alle Zugänge, für die Sie Ihr Hochschullogin benötigen (auch von zu Hause aus).

Betroffen sind neben unserer Webseite auch alle zentralen Services wie FELIX oder die Bibliotheken.

Wann immer es Berichtenswertes gibt, informieren wir Sie hier umgehend über neue Entwicklungen. Die Nachrichten sind chronologisch sortiert.

Mit freundlichen Grüßen Ihre Hochschulleitung

Info von der FAQ Seite:

Die IT-Infrastruktur der Hochschule Furtwangen ist am 18. September Ziel eines Cyberangriffs geworden. Nach ersten Erkenntnissen wurden Daten verschlüsselt oder gelöscht. Als Erstmaßnahme wurden sämtliche Systeme vom Netz genommen. Aus diesem Grund steht unsere IT-Infrastruktur derzeit nicht zur Verfügung, auch alle zentralen Services wie FELIX oder die Bibliotheken sind daher außer Betrieb. Die Telefonanlage ist nicht betroffen.

Das Ausmaß des Schadens kann noch nicht genau abgeschätzt werden. Die Ermittlungen der Behörden laufen. Wir arbeiten mit Hochdruck am Wiederaufbau.

Zusammenfassung

• Fairphone 5 wird in den nächsten Tagen vorgestellt, Preis: 699 Euro
• Fokus auf umweltverträglichen Bau, 70% Fairtrade und Recycling
• Erhöhte Modularität für einfache Reparierbarkeit
• 8 Jahre Software-Support
• 6,46 Zoll 90Hz OLED-Display, 8 GB RAM, 256 GB interner Speicher
• Verbesserte Kamera mit zwei 50-Megapixel-Sensoren, 4K-Video
• Akkukapazität von 4200mAh, Bluetooth 5.2, WiFi 6E, IP55
• Vorstellung am 31. August, Verfügbarkeit Ende September

cross-posted from: https://postit.quantentoast.de/post/45325

In case you need a quick laugh, have a look at this CVE report.

For context: quote DVWA Repo:

Damn Vulnerable Web Application (DVWA) is a PHP/MySQL web application that is damn vulnerable. Its main goal is to be an aid for security professionals to test their skills and tools in a legal environment, [...].

Nein das ist kein Passwort-Tester. Besser! Wer schaffts alle Passwortbedingungen zu erfüllen?

cross-posted from: https://lemm.ee/post/3809973

Action by regulator follows £12.7m fine by UK for illegally processing data of 1.4m children under 13

Die überwältigende Mehrheit der erfolgreichen Hacks in freier Wildbahn setzen auf menschliche Faktoren. Wie können wir Systeme und Interfaces gestalten, um diese Schwachstellen zu mindern?

Ob Ransomware oder Phishing, APT-Angriffe oder Stalking: Die am häufigsten ausgenutzte Schwachstelle ist der Mensch.

Ein Problem, das nur wenig Forschung tatsächlich angehen will. Stattdessen begnügen wir uns damit, den Usern Dummheit zu unterstellen und menschliche Faktoren der IT-Sicherheit "out of scope" zu sehen.

Zeit, anders über das Problem nachzudenken, denn es gibt einige Interessante Erkenntnisse zu entdecken.

Vortrag von Linus Neumann

Beispiel robots.txt um ChatGPT auszuschließen:

User-agent: GPTBot
Disallow: /

cross-posted from: https://postit.quantentoast.de/post/23088

🧅 Ihr steht auf Zwiebeln?

Unsere Lemmy Instanz hat ab sofort einen Tor-Mirror! 🥳

Ob er genutzt wird und ob sich der Wartungsaufwand lohnt, werden wir sehen. Aber fürs erste: viel Spaß beim anonymen posten! 🕵️

http://postitlx2byjec2lq3haowhx6x6aa7cwoo4hdplg7vw3meuzxmsh5yyd.onion

cross-posted from: https://feddit.de/post/1903616

Docker hat ein Early Access Produkt namens Docker Scout.

Damit lassen sich images auf bekannte Vulnerabilities scannen. Im Free Plan bis zu drei remote Repositories (Docker Hub), oder unlimitiert offline mittels Docker Desktop.

https://www.docker.com/products/docker-scout/

Von nun an werden Posts der TP Lemmy Community auch an den TP Matrix Raum geschickt. Nur Post -> Matrix, keine Kommentare und nicht in die andere Richtung!

Why tho? - Zum einen müssen User die beide Plattformen nutzen dadurch ihre eigenen Posts nicht zweimal verfassen, zum anderen gibts bestimmt noch ein Grund dafür...

Prod ready? - Naja, wir schaun mal wies läuft 😉

There's more - Der Bot kommentiert auch (Lemmy only!) Posts/Kommentare wenn diese Youtube Links enthalten und stellt Piped Links zur Verfügung. 🎉 Beispiel: https://youtu.be/DLzxrzFCyOs

Obs klappt, sehen wir wenn dieser Post gleich im Matrix Chat auftaucht 🤞

Der Dsb von Mecklenburg-Vorpommern hat eine Stellungnahme zu Dashcams, insbesondere zu Teslas "Wächtermodus", veröffentlicht.

tl;dr: Dashcams sollten Ringspeicher nutzen und max. eine Minute vor und nach einem Unfall aufzeichnen. Die Funktionen von Tesla seien unzulässig da das "berechtigte Interesse" nicht das Selbstbestimmungsrecht der Verkehrsteilnehmer und Fußgänger übertreffe.

Meinung: Überwachungskameras Zuhause dürfen streng nur das eigene Grundstück aufzeichnen, aber ein Tesla filmt die ganze Nachbarschaft!? Irgendwas stimmt doch da nicht.

Die Fritzbox 7490 bekommt jetzt nachträglich doch das Update mit Wireguard. Das macht es vielen Personen einfacher eine sichere Verbindung in ihr eigenes Netzwerk aufzubauen mir ihrem "alten" Router. Das ermöglicht die weitere Verwendung der 7490 für alle die Wireguard auf ihrem Router verwenden möchten.

cross-posted from: https://postit.quantentoast.de/post/8107

Eine XSS Schwachstelle im Markdown-Parser von Lemmy-UI (#1895) erlaubt es Javascript Code in Custom Emojis zu injecten.

Die Vulnerability wurde auf anderen Instanzen, darunter auch lemmy.world, bereits ausgenutzt um u.a. JWTs von Usern und insbesondere Admins zu erbeuten. Ich stehe im Kontakt mit anderen Lemmy-Admins und Devs und werde Updates hier kommentieren.

Grob zusammengefasst funktioniert die Attacke wie folgt: Custom Emojis haben einen custom Renderer. Wird ein custom emoji verwendet, wird auch der von der XSS Schwachstelle betroffene custom Renderer aktiviert. Der normale Markdown Renderer ist nicht betroffen. Angreifer können somit die Schwachstelle in existierenden custom Emojis ausnutzen, ohne dass das Emoji selbst malicious ist.

Es ist nicht genau klar, wie weitreichend die Vulnerability ist. Empfohlene Mitigations wurden aber von unserer Seite bereits unternommen:

• Die Datenbank wurde auf malicious Posts, Comments, etc untersucht.
• Alle JWTs wurden zurück gesetzt, wodruch sich alle User neu anmelden müssen.
• Föderation bleibt bis auf weiteres aktiv, da nur local custom emojis und keine federated custom emojis betroffen sein sollen. Die QuantenToast Instanz hat aktuell keine custom Emojis, sollte somit auch nicht betroffen sein.

Ein Fix wurde bereits erstellt; aber noch nicht released. Zuständige Admins und Devs sind informiert und untersuchen den Sachverhalt.

Mehr Informationen:

• https://lemm.ee/post/942359
• https://github.com/LemmyNet/lemmy-ui/issues/1895
• https://github.com/LemmyNet/lemmy-ui/pull/1897

Ein neues Feature in Firefox 115 blockiert einige Add-Ons auf bestimmten Seiten:

Certain Firefox users may come across a message in the extensions panel indicating that their add-ons are not allowed on the site currently open. As of Firefox version 115, we have introduced a new back-end feature to only allow some extensions monitored by Mozilla to run on specific websites for various reasons, including security concerns.

Zum deaktivieren dieses tollen "Features" in der about:config die Option extensions.quarantinedDomains.enabled togglen auf false.

Es mag sein, dass bspw. auf Banking-Seiten nicht jedes verfügbare Add-On gutmütig ist, aber im Hintergrund beliebige Add-Ons abzuschalten gefällt mir persönlich nicht. Wer entscheidet aus welchen Gründen welches Add-On auf welcher Seite aktiv sein darf?.

Aufmerksam geworden durch Mastodon Post von Kuketz-Blog

Das Datensendeverhalten fließt nur zu 5% und die Datenschutzerklärung gar nicht in die Wertung mit ein. Und das bei einer App die überhaupt nicht notwendig ist...

Der original Beitrag liegt hinter einer Paywal.