When 4 IBM Model M keyboards showed up during a cleanup at work (university) and I was asked if I wanted one, I of course said yes!

It's an IBM model M 1394540 from 1992 with the PS2 connector and the detachable cable. The keyboard and cable are in very good condition, even the manufacturing sticker on the back looks pretty good! All keycaps present, all keys work. It just needed "some" cleaning which ended in a 3h long process haha.

It will definitely be my daily driver for the next few weeks. I haven't decided yet if I will use it long term. I'm actually very happy with my modded Keychron Q6. Maybe I'll try some lube on the stabilizers and perhaps a little tape mod.

The best part was that I got to take a second Model M with me, which I will give to a good friend. This one is also in great condition.

It was an incredible day!

cross-posted from: https://lemmy.ml/post/6019673

🇩🇪 Wir updaten gleich auf Lemmy 0.18.5. Es kommt zu einem kurzen Neustart.

🇬🇧 We update to Lemmy 0.18.5 and will reboot for it right away

Aus vergangener Zeit hatte ich noch zwei W-LAN Steckdosen der "Marke" Aisirer herumliegen, welche Software von Tuya verwenden. Da ich keine Smart Home Geräte verwenden möchte welche nur mit Cloud-Anbindung - und erst recht nicht mit zugehöriger Software aus China - funktionieren, habe ich recherchiert wie man den in den Steckdosen enthaltenen ESP flashen könnte.

Das erste Problem: Die neuen Modelle der Steckdosen nutzen gar keine ESP Module mehr. Glücklicherweise gehören meine Plugs nicht dazu.

Für manche (ältere) Tuya Geräte kann ganz einfach Tuya Convert genutzt werden um eine andere Firmware zu flashen. Damit ist kein löten notwenig.

Leider war die Schwachstelle, welche Tuya Convert ausnutzt, bei meinen Geräten schon geschlossen, weshalb doch nur noch löten blieb.

Das Tasmota Getting Started ist sehr ausführlich und bietet eine gute Grundlage. Gerätespezifische Daten wie beispielsweise das Pinout muss man aber anderweitig suchen, sofern das eigene Gerät nicht in der Liste bereits vorhanden ist. Erneut hatte ich Glück, denn in einem Issue #4286 hatte jemand anderes bereits genau mein Modell zerlegt und erfolgreich geflasht.

Zum flashen habe ich mich entschieden den Tasmotizer zu verwenden, da der Web Installer und die nötigen Berechtigungen sich nicht einig wurden. Einfach der Anleitung folgen, den aktuellen Tasmota Release ziehen und flashen.

Danach alles zusammen bauen und fertig. Beide Steckdosen funktionieren einwandfrei. Einziges Mankerl: Die Gewinde, welche die Plastik Abdeckung halten, sind sehr sehr empfindlich und brechen auch bei größter Vorsicht ab. Die Abdeckungen halten dennoch gut, auch wenn sie nur leicht, oder gar nicht mit Schrauben befestigt sind.

Die Steckdosen können nun über die HTTP API oder MQTT gesteuert und in Home Assistant eingebunden werden. Yay 🎉

Edit: Verwendeter USB-TTL Adapter -> Amazon Link

Info von der Website/Startseite

Liebe Studierende und Studieninteressierte, liebe Mitarbeitende der Hochschule Furtwangen,

leider ist unsere IT-Infrastruktur von einem Hackerangriff betroffen. Daher steht die gesamte IT-Infrastruktur der Hochschule derzeit nicht zur Verfügung. Dies beinhaltet auch die E-Mail-Kommunikation sowie alle Zugänge, für die Sie Ihr Hochschullogin benötigen (auch von zu Hause aus).

Betroffen sind neben unserer Webseite auch alle zentralen Services wie FELIX oder die Bibliotheken.

Wann immer es Berichtenswertes gibt, informieren wir Sie hier umgehend über neue Entwicklungen. Die Nachrichten sind chronologisch sortiert.

Mit freundlichen Grüßen Ihre Hochschulleitung

Info von der FAQ Seite:

Die IT-Infrastruktur der Hochschule Furtwangen ist am 18. September Ziel eines Cyberangriffs geworden. Nach ersten Erkenntnissen wurden Daten verschlüsselt oder gelöscht. Als Erstmaßnahme wurden sämtliche Systeme vom Netz genommen. Aus diesem Grund steht unsere IT-Infrastruktur derzeit nicht zur Verfügung, auch alle zentralen Services wie FELIX oder die Bibliotheken sind daher außer Betrieb. Die Telefonanlage ist nicht betroffen.

Das Ausmaß des Schadens kann noch nicht genau abgeschätzt werden. Die Ermittlungen der Behörden laufen. Wir arbeiten mit Hochdruck am Wiederaufbau.

Wie in einem vergangenem Post bereits erläutert werden wir von (Fediverse) Instanzen deföderieren, welche problematische, unethische, oder schlichtweg illegale Inhalte verbreiten.

Dieser Post dient der Transparenz unseren Nutzern gegenüber, welche unserer Meinung nach das Recht haben zu erfahren, mit welchen Instanzen kommuniziert werden kann.

Die folgende Liste der von uns deföderierten Instanzen wird bei Änderungen aktualisiert.

Deföderation

Deföderation hat zur Folge, dass keine Inhalte mehr mit der deföderierten Instanz austauscht werden können. Dazu zählen Posts, Bilder und Direktnachrichten.

Glossar

• CSAM: Child sexual abuse material
• MAP: Minor Attracted Person
• Lolicon: Any adult who feels sexual attraction to specifically fictional depictions of characters who’s body proportions closely resemble that of a child regardless of the canonical assigned age.
• Shotacon: A pairing, seen mostly as yaoi in fanfiction/art, in which there is a young underaged male engaged in a sexual act.
• IC: Illegal Content

CSAM, Lolicon, Shotacon, MAPs o.ä.

• rqd2.net
• burggit.moe
• lemmy.comfysnug.space
• h5q.net
• posting.lolicon.rocks
• pawoo.net
• lolison.top
• lolison.network
• mstdn.jp
• youjo.love
• pedo.school
• baraag.net
• nnia.space
• aethy.com
• headpat.cafe
• fedibird.com
• peertube.se
• shotatube.xyz
• pengi-san.moe
• paravielfalt.zone

Hatespeech, Harassment, Bigotry, Racissm, o.ä.

• exploding-heads.com
• poster.place
• seal.cafe
• crlf.ninja
• mugicha.club
• shortstacksran.ch
• wolfgirl.bar
• clubcyberia.co
• cannibal.cafe
• librosphere.fr

Erstellt: 06.09.2023 / Letzter Edit: 05.10.2023

In letzter Zeit gab es immer wieder "Angriffe" auf (Lemmy) Instanzen, bei welchen CSAM in großen Mengen gepostet wurde. Technisch bedingt landen diese Inhalte, wie bspw. Bilder/Thumbnails, auch auf anderen Instanzen - also auf anderen Servern.

Bedeutet vereinfacht: Wird auf Instanz X in Community Y ein Bild gepostet und ist einer unserer Nutzer Abonennt der Community Y, wird das Bild auf unseren Server kopiert. Dieses Prinzip lässt sich nicht ohne weiteres ändern. Ein striktes deaktivieren von Bildern erachten wir, für eine Platform wie Lemmy, allerdings auch nicht als sinnvoll.

Als Folge dieser Angriffe ist die (Lemmy-) Admin Community voller Aufruhr und versucht die Thematik in den Griff zu bekommen.

Unter den Reaktionen einzelner Instanz-Admins waren:

• Komplettes deaktivieren von Bildern auf Lemmy
• Schließen von (Lemmy) Communities
• Abschalten ganzer (Lemmy) Instanzen
• Installieren permanenter CSAM Image Checker
• Föderieren nur nach Allow-List (mit von Hand erlaubten Instanzen)

Wie reagiert QuantenToast?

Wir sind in der (Lemmy) Admin Community aktiv, in welcher nicht nur technisches Wissen ausgetauscht, sondern auch Vorfälle dieser Art akut diskutiert werden. Dadurch können wir bei solchen Vorfällen sehr schnell handeln, sei es denn nötig.

Aktuell befinden wir uns immer noch in der Diskussionsphase, wie genau wir auf lange Sicht mit dem Problem umgehen werden. Für den Moment haben wir jedoch bereits Maßnahmen getroffen. Der CSAM Image Checker wurde genutzt um bestehende Inhalte zu überprüfen - glücklicherweise gab es dabei keine Funde. Desweiteren werden wir schneller von Instanzen deföderieren, welche problematische Inhalte vorweisen.

Deföderation der folgenden Instanzen

Mit sofortiger Wirkung deföderieren wir von den unten genannten Instanzen. Das hat zur Folge, dass keine Inhalte mehr zwischen den Instanzen ausgetauscht werden können, wozu auch Direktnachrichten zählen.

• rqd2.net
  • Der Site admin bezeichnet sich selbst als MAP
• exploding-heads.com
  • Extremistische Inhalte

Wir werden in Zukunft sicherlich von weiteren Instanzen deföderieren müssen. Eventuell werden wir eine "Liste deföderierter Instanzen inkl. Begründung" anlegen.

Problematische/Illegale Inhalten direkt melden

Wir bitten unsere Nutzer problematische Inhalte immer direkt zu melden, sodass Moderatoren und Admins schnell reagieren und Inhalte ggf. entfernen können. QuantenToast hat eine Null-Toleranz Politik was Abuse Material jeglicher Art betrifft!

Zusammenfassung

• Fairphone 5 wird in den nächsten Tagen vorgestellt, Preis: 699 Euro
• Fokus auf umweltverträglichen Bau, 70% Fairtrade und Recycling
• Erhöhte Modularität für einfache Reparierbarkeit
• 8 Jahre Software-Support
• 6,46 Zoll 90Hz OLED-Display, 8 GB RAM, 256 GB interner Speicher
• Verbesserte Kamera mit zwei 50-Megapixel-Sensoren, 4K-Video
• Akkukapazität von 4200mAh, Bluetooth 5.2, WiFi 6E, IP55
• Vorstellung am 31. August, Verfügbarkeit Ende September

GDPR Compliance Check

For those who haven't heard of it before, Gumb is

A platform for managing meetings, gatherings, and events for communities of any size. - gump.app/en

I have investigated this app because it is used by a club where I am occasionally active.

Landing Page / Homepage

Fonts: The landing page is using google fonts, so those fonts are loaded (8 requests) from fonts.gstatic.com when opening the website. The first issue here is that google fonts are not listed in the privacy policy at all. Second, by a German court ruling google fonts are not compliant with the GDPR:

The use of external font services cannot be based on Art. 6 § 1 p.1 f GDPR, as the use of the fonts is also possible without having to establish a connection from visitors to external servers. - LG München Az. 3 O 17493/20

Images: Furthermore the website is loading images from firebasestorage.googleapis.com (105 requests). Following the argumentation of the previously mentioned court ruling, using firebase for images could also be considered non-compliant because images could easily be served without having to establish a connection from visitors to external servers.

Youtube Embed: The website includes a youtube iframe (13 requests to www.youtube.com) with an introduction video. While youtube themself offer an iframe option called "Enable privacy-enhanced mode", the Gumb homepage embeds the »normal« iframe that places tracking cookies which again violates the GDPR. The iframe furthermore sends

• 6 requests to play.google.com/log,
• 4 requests to https://googleads.g.doubleclick.net
• 1 request to https://static.doubleclick.net
• 4 request to https://jnn-pa.googleapis.com

Tracking: The website uses, as stated in their privacy policy, Google Analytics (GA) which results in a request to https://region1.analytics.google.com/g/collect... and https://www.googletagmanager.com. However, writing "we use GA" in the privacy policy is not sufficient. GA requires consent from the website visitor.

There are a few more unnecessary requests, but I think the point is clear.

All of that is happening without any consent from the visitor!

Mobile App

Gumb offers mobile Apps for Android and iOS, of which I only checked the Android version. While I can't say for sure that the app violates the GDPR because it immediately asks for credentials, the Exodus Privacy Report (of the latest version 1.0.84) still looks rather bad:

• Amazon Analytics
• Amazon Mobile Analytics
• Google Analytics
• Google CrashLytics
• Google Firebase Analytics
• Google Tag Manager

Web App

Next to mobile apps, Gumb offers a web app too. Well, what can I say - there are requests to

• https://fonts.googleapis.com
• https://www.googletagmanager.com
• https://region1.analytics.google.com/g/collect...
• https://www.google.de/ads/...
• https://stats.g.doubleclick.net/g/collect...
• https://ipgeolocation.io/

even without being logged in or any given consent.

Conclusion

For a tool from Switzerland with paid subscription plans and the purpose of managing events/meetings etc. it uses a lot of google (tracking) services... Very sad to see as the app looks otherwise really modern and useful. Do today's developers know that applications like Gumb can be implemented without selling their users' soul to google?

cross-posted from: https://postit.quantentoast.de/post/45325

In case you need a quick laugh, have a look at this CVE report.

For context: quote DVWA Repo:

Damn Vulnerable Web Application (DVWA) is a PHP/MySQL web application that is damn vulnerable. Its main goal is to be an aid for security professionals to test their skills and tools in a legal environment, [...].

In case you need a quick laugh, have a look at this CVE report.

For context: quote DVWA Repo:

Damn Vulnerable Web Application (DVWA) is a PHP/MySQL web application that is damn vulnerable. Its main goal is to be an aid for security professionals to test their skills and tools in a legal environment, [...].

I stopped at level 24, but it was super funny!

Nein das ist kein Passwort-Tester. Besser! Wer schaffts alle Passwortbedingungen zu erfüllen?

cross-posted from: https://lemm.ee/post/3809973

Action by regulator follows £12.7m fine by UK for illegally processing data of 1.4m children under 13

Die überwältigende Mehrheit der erfolgreichen Hacks in freier Wildbahn setzen auf menschliche Faktoren. Wie können wir Systeme und Interfaces gestalten, um diese Schwachstellen zu mindern?

Ob Ransomware oder Phishing, APT-Angriffe oder Stalking: Die am häufigsten ausgenutzte Schwachstelle ist der Mensch.

Ein Problem, das nur wenig Forschung tatsächlich angehen will. Stattdessen begnügen wir uns damit, den Usern Dummheit zu unterstellen und menschliche Faktoren der IT-Sicherheit "out of scope" zu sehen.

Zeit, anders über das Problem nachzudenken, denn es gibt einige Interessante Erkenntnisse zu entdecken.

Vortrag von Linus Neumann

🇩🇪 Wir updaten gleich auf Lemmy 0.18.4. Es kommt zu einem kurzen Neustart.

🇬🇧 We update to Lemmy 0.18.4 and will reboot for it right away

Beispiel robots.txt um ChatGPT auszuschließen:

User-agent: GPTBot
Disallow: /