Kai 'wusel' Siering @wusel@uu.org

Hi Bahnbubble - bietet jemand mehr? 😃

Dieses Schreiben vom Servicecenter schau ich bei jedem Ausmisten kurz an, lache darüber, schreibe einen Tweet und lass es dann im Ordner. 🥰

Non-Newtonian fluids turn into solids when pressure is applied.

Credit: UChicago

Wie? Die faktische Abschaffung des Rechts auf Asyl, massive Einschränkungen von Menschenrechten und Masseninhaftierungen an den Außengrenzen verhindern gar nicht, dass Union und AfD weitere Beschränkungen einfordern? Das ist ja interessant. #GEAS

BMW hat da irgendetwas nicht verstanden. 🤷🏼‍♂️
#StadtpanzerRaus

Leak: Nach Spanien stellt auch die schwedische EU-Ratspräsidentschaft in Frage, dass "Verschlüsselungstechnologien wie Encrochat bislang legal vertrieben werden" können. Vom deutschen Vetreter kein Wort zum #RechtaufVerschlüsselung. https://twitter.com/markusreuter_/status/1667163122853986308?utm_source=dlvr.it&utm_medium=mastodon

Ich fasse zusammen: Europa muss leben und wenn ihr sterben müsst. #spd #geas #asyl #asylrecht

Getting some Blade Runner vibes from these photos of Times Square

https://www.cnbc.com/amp/2023/06/07/canadian-wildfire-smoke-nyc-residents-urged-to-stay-inside.html

Year progress: ▒▒▒▒▒▒▒▒░░░░░░░░░░░░ 43.6%

Erstmalig können wir mit dieser Liste zeigen, wie tief deutsche Unternehmen in das Netzwerk der Datenhändler eingebunden sind. Sieben deutsche Firmen haben über Xandr Daten angeboten, unter anderem Tochter-Unternehmen von Deutscher Telekom & ProSiebenSat1.

https://netzpolitik.org/2023/adsquare_theadex_emetriq_werbetracking-wie-deutsche-firmen-am-geschaeft-mit-unseren-daten-verdienen/

Wen ich gerne mal in einer 🇩🇪 Talkshow sehen würde:

Ein Däne der zeigt wie Ölheizung-Aus seit 2013 geht
Ein Norweger der zeigt wie 80% E-Autos gehen
Ein Niederländer der zeigt wie Tempo 100 geht
Noch einen Niederländer, der zeigt wie fahrradgerechte Städte gehen:)

Wen ich stattdessen sehe:

Philip Amthor
Christian Dürr
Robin Alexander
Jens Spahn

Beim #Kirchentag wird jede:r der 50.000 Besucher:innen mit 150€ Steuergeld subventioniert. Das entspricht ner Freikarte für #RockImPark für jeden einzelnen Festivalgast.
Trennung von Staat und Kirche? Am 🍑
https://hpd.de/artikel/martin-luther-reist-zum-tatort-21342

Obwohl es wenig Kriminalität im Passauer Klostergarten gab, hatte die Stadt dort 10 Videokameras installiert. Ein Bürger wehrte sich und zog durch die Instanzen. Jetzt hatte er Erfolg: Die Kameras sind rechtswidrig. Ein Beispiel, das Schule machen könnte.

https://netzpolitik.org/2023/klagen-lohnt-sich-videoueberwachung-von-beliebter-gruenanlage-in-passau-illegal/

https://www.n-tv.de/politik/Was-brasilianische-Pflegekraefte-an-Deutschland-stoert-article24170491.html
Den höheren Löhnen stehen auch höhere Kosten entgegen. Das erste halbe Jahr ist deshalb für viele ernüchternd. Carol war geschockt, wie hart die Arbeit für Pflegekräfte in Deutschland ist. "Ich habe manchmal 6 Nachtschichten nacheinander gearbeitet, ohne richtige Pausen. Wir waren zu zweit und für 34 Patienten zuständig. In Brasilien konnte ich mich nach der Arbeit noch mit Freunden treffen. In Deutschland nicht. Da kam ich von der Schicht und wollte nur noch schlafen."

Offizielle Pressemitteilung zur #gpn21:

Entropia e.V. präsentiert die 21. Gulaschprogrammiernacht (#gpn21): Das kulinarischste Hackertreffen Europas

Karlsruhe, 06. Juni 2023 - Entropia e.V., der Karlsruher Ableger des Chaos Computer Clubs (CCC) und renommierte Verein für digitale Kultur, Technologie und Gulasch, freut sich, die 21. Ausgabe der beliebten Gulaschprogrammiernacht (GPN) anzukündigen. Die GPN, Europas kulinarischstes Hackertreffen, findet vom 8. bis 11. Juni 2023 unter dem Motto “ch(ea|i)p alternatives” in den Räumlichkeiten der HfG und des ZKM statt.

Mehr unter https://entropia.de/GPN21:Pressemitteilung

French authorities are now considering that using encryption (eg encrypting your harddrive, using @signalapp, educating others about privacy-preserving apps) is evidence of conspiracy and terrorism. That's much scarier than the supposed threat of "AI" taking over the world.

https://www.laquadrature.net/en/2023/06/05/criminalization-of-encryption-the-8-december-case/

[EDIT: fixed typos/missing words]

Gmail's BIMI implementation only requires SPF to match, the DKIM signature can be from any domain.

This means that any shared or misconfigured mail server in a BIMI-enabled domain's SPF records can be a vector for sending spoofed messages with the full BIMI ✅ treatment in Gmail.

Until today, there was a Microsoft 365 configuration that would happily forward messages with a spoofed RFC5321.MailFrom (envelope) address intact, which allowed spoofing messages from any of the 775 domains that are both BIMI-enabled and allow outlook.com in their SPF.

More vectors like this almost certainly exist, the implementations and configurations of email forwarding are extremely complicated, as discussed in the recent Forward Pass paper: https://arxiv.org/abs/2302.07287

BIMI is worse than the status quo, as it enables super-powered phishing based on a single misconfiguration in the extremely complicated and fragile stack that is email.

Other BIMI implementations:

iCloud: properly checks that DKIM matches the From domain
Yahoo: only attaches BIMI treatment to bulk sends with high reputation
Fastmail: vulnerable but also supports Gravatar and uses the same treatment for both so the impact is minimal
Apple Mail + Fastmail: vulnerable with a dangerous treatment