5. Januar 2010
Einige Geldautomaten oder deren Backendsysteme haben einen Jahr-2010-Bug. Das Problem scheint so schwerwiegend zu sein, dass es eine größere Medienwelle ausgelöst hat.
Dabei verwundert mich ein wenig, dass ein Problem dieses Kalibers scheinbar in keinem vorherigen QS-Verfahren aufgefallen ist was mich wiederum stark an an den QS-Prozessen der Bankenwirtschaft zweifeln lässt. Bei derlei Mission-Critical-Systemen erwarte ich eine lückenlose QS, die wirksam verhindert, dass in Systemen dieses Kalibers solche schweren Fehler auftreten. Zumindest nicht im Produktivbetrieb.
Noch seltsamer ist allerdings, dass “das Problem” am 1.1. aufgetreten und bereits am 4.1. als “gelöst” bezeichnet wurde. Das bedeutet für mich, dass die “Lösung”, die laut Spiegel in einem “Update der Software der Automaten und Händlerterminals” bestand, wohl kaum durch eine vernünftige QS gelaufen sein kann. Denn abseits jeder Automatisierung und Professionalisierung der QS-Prozesse: eine korrekte QS benötigt Zeit und ich mutmaße, dass es sich hier um kein kleines System handelt, das in wenigen Stunden komplett auf Seiteneffekte abgeklopft werden kann – zumal sich ja bereits gezeigt hat, dass die QS-Prozesse sowieso sichtbare Probleme haben.
Im Schluss bedeutet dass, dass vermutlich eine nicht korrekt getestete Software durch eine neuere Version nicht korrekt getesteter Software ausgetauscht wurde und wir uns alle auf das nächste Problem freuen können.
Eingeordnet unter Allgemein, Passiert, banken, qualitätssicherung, softwareentwicklung | Keine Kommentare »
23. Dezember 2009
Einen sehr schönen Artikel über Marketing im realen 21. Jahrhundert abseits von IP-Trollen und Copyright-Nazis hat Kevin Kelly da geschrieben. Auch wenn fundable.com wegen Differenzen zwischen den Gründern mittlerweile geschlossen ist, zeigt der Text doch Wege auf, wie Künstler (und sicherlich auch andere Berufsgruppen) mit dem Netz leben, agieren und profitieren können. Sehr nett finde ich es dabei, dass es zentral um die Frage geht, von was ein Künstler denn nun leben soll. Und darum geht es ja der Content-Industrie ja angeblich auch ganz prinzipiell. Allerdings gibt Kelly auch eine Antwort darauf, die nicht aus Konfrontation sondern aus Kooperation schöpft.
Eingeordnet unter Medien, Passiert, businessmodell, content, copyright, trolle | Keine Kommentare »
26. August 2009
Just to get you up and running: if your Java based SOAP request fails with something like “certificate missing”, first inspect your generated SOAP code. If it contains something like this:
<ds:KeyInfo Id="KeyId-F26B331D23680CE7A712512821313252">
<wsse:SecurityTokenReference xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" wsu:Id="STRId-F26B331D23680CE7A712512821313343">
<ds:X509Data>
...
голова болит секс
than you have to request a “direct reference” to your certificate, which will result in a binarySecurityToken element in the SOAP header containing your encoded certificate:
<wsse:Security
xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd"
soap:mustUnderstand="1">
<wsse:BinarySecurityToken
xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" ...
порно жесть
You can enable the direct reference by adding a parameter to the WSS4J interceptor:
outProps.put(WSHandlerConstants.ACTION, WSHandlerConstants.TIMESTAMP + " " + WSHandlerConstants.SIGNATURE);
outProps.put(WSHandlerConstants.USER, "my_amazon_cert");
outProps.put(WSHandlerConstants.PW_CALLBACK_CLASS, ClientCallbackHandler.class.getName());
outProps.put(WSHandlerConstants.SIG_PROP_FILE, "amazonsecurity.properties");
outProps.put(WSHandlerConstants.SIG_KEY_ID, "DirectReference"); голые мужики
красноярские свингеры
The reason for all of this is that some services can’t work with referenced certificates. Amazon Product Advertising API for example. This has caused some hours of research to find out. Reasoning from my Google research, it seems that only a few are actually using WS-Security this way. My personal opinion: most security APIs are completely over engineered and utter bullshit. Someone should tell those security guys how to design proper APIs whithout cluttering it with hundreds of configuration options, preferences, diverse and esoteric configuration files and the like. This really annoys me. And it is not a problem of the Java security APIs, but a language crossing problem.
I mean: I, as an application designer, just don’t want to configure every tiny bit of security part when using the security layer. There should be some “best practice” – simple and secure – way to use security. It should be transparent and unintrusive to my business code.
Instead of this, todays security APIs are complicated, please-configure-every-tiny-bit beasts in the notion of “if you want security, then go and study encryption algorithms and encoding formats first, you bastard”. It feels like the WS-* standards before WS-I came. Or EJB before EJB3.
And, I think this is a large security issue. As the application designers are forced to integrate complicated security APIs without the time (or notion) to fully understand them, there is a lot of possible pitfalls that can potentially ruin your security. So you are also forced to be a security expert understanding all the different things going on in the security layer. I don’t want this. I want to focus on business code. Abstraction and clear responsibility is the base of any large system and needed to conquer complexity. But instead, looking at current Security APIs is like looking at the stone age of software engineering.
Eingeordnet unter Software-Entwicklung | Tags: apis, java, java security, personal opinion, security, utter bullshit | Keine Kommentare »
16. August 2009
So manchmal frage ich mich wirklich, was manche Leute so denken. Diese ganzen dahergelaufenen Würstchen, die in ihrer eigenen Welt leben und glauben, dass sie den Laden regieren. Telepolis berichtet über so einen armseligen Resozialisierungsfall: Ulrich Hoeneß fordert im Interview mit der Wirtschaftswoche eine GEZ-Extragebühr für die notleidenden Fußballvereine. Peter Mühlbauer dazu:
Und Aktiengesellschaften, die mit schöner Regelmäßigkeit ein- oder zweimal die Woche so viele Gewalttäter zu rituellen Schlägereien und Sachbeschädigungsorgien anlocken, dass sich die Polizei an solchen Tagen kaum mehr um etwas anderes kümmern kann, werden nicht einmal zur Finanzierung der Wochenendzuschläge herangezogen, geschweige denn für die auf den Steuerzahler abgewälzten Kosten, welche ihr Geschäftsmodell tatsächlich verursacht. Dazu zählen auch zahlreiche von angeblich klammen Kommunen gebaute oder geförderte Sportstätten und U-Bahnen, welche Rotten von Krawallmachern bequem zu ihren Tatorten kutschieren.
Es war wohl wieder mal Zeit für die tägliche Portion Wahnsinn.
бесплатно видео знаменитости порно
Eingeordnet unter Passiert, Politik | Tags: abzocker, bayern, fußball, gebühren, gez, wahnsinnige, welt, wirtschaftswoche | Keine Kommentare »
10. Juni 2009
News from the gadget department: just got my PayPal/eBay Security token. It is a nice little device just the right size for a keychain. The token is made by Verisign and can be used to protect your PayPal and eBay accounts. Once activated, you have to log in to these accounts using the number displayed on the token. Every number is valid for 30 seconds. The idea is that you can only log in to your account when in physical possession of the piece of hardware.
You can order the token worldwide for around 5 Euros here.The device itself is a Vasco Digipass Go 3, which can also be ordered from Verisign directly (which costs $30). Verisign announces the Go 3 OTP device as a device usable with Verisign’s OpenID
Memoirs of an Invisible Man film www порно ru
service. So, I was giving it a try and registered my token at Verisign’s OpenID site
видео лесби …and it works Secret Passage movie download
!
When registered with the service, you can use the PayPal token to log in into all OpenID enabled sites like Sourceforge or use it for your own applications. The access to the Quendor.org adminstration interface is now accessible thru OpenID authentication and I can use my keychain token to log in. Nice.
Eingeordnet unter Technologie | Tags: authentication, ebay, gadget, keychain, openid, otp, paypal, security token, sourceforge, vasco, verisign | Ein Kommentar »
14. Mai 2009
Der neue iPod Shuffle hat ein DRM-System verbaut, das verhindert, dass nicht durch Apple lizensierte Kopfhörer genutzt werden. Boing Boing meldet, dass “compliant Headphones” über einen DRM-Chip verfügen müssen. Die EFF berichtet ebenso und iLounge fasst sehr gut zusammen:
This is, in short, a nightmare scenario for long-time iPod fans: are we entering a world in which Apple controls and taxes literally every piece of the iPod purchase from headphones to chargers, jacking up their prices, forcing customers to re-purchase things they already own, while making only marginal improvements in their functionality? It’s a shame, and one that consumers should feel empowered to fight.
Einfach nur krank und ein weiterer Grund, keine Apple-Produkte zu kaufen. Defective by Design eben. Fireproof video
Eingeordnet unter Technologie | Keine Kommentare »
15. März 2009
Zypries gibt von der Leyen Contra. Gut. Aber irgendwie werde ich das Gefühl nicht los, dass es gar nicht um die Sache geht, sondern hier einfach nur parteitaktische Spielchen gespielt werden. Btw: warum die Content-Mafia nicht schon längst auf die glorreiche Idee gekommen ist, dass ja “Bittorrent hauptsächlich von Perversen für KiPo genutzt wird” und damit das
Totschlagargument in der Hand hätte, wundert mich ein wenig.
Eingeordnet unter Politik | Tags: leyen, mafia | Keine Kommentare »
