Bananas Development Blog: share your thoughts

Fingerabdrücke stehlen. Nun ganz einfach.

Hackers can remotely steal fingerprints from Android phones
Researchers outline how hackers can attack your smartphone to steal your fingerprint on a "large scale" -- without anybody noticing.


Tja, wer hätte das gedacht...

Mal eine neue Art von Sicherheitsproblem.

Klar gibt es wie jedes Jahr auf der Blackhat Enthüllungen die neu sind. Folgende ist aber, wie ich finde, mal was neues.

THE MEMORY SINKHOLE - UNLEASHING AN X86 DESIGN FLAW ALLOWING UNIVERSAL PRIVILEGE ESCALATION
Lost in this byzantine maze of decades-old architecture improvements and patches, there lies a design flaw that's gone unnoticed for 20 years. In one of the most bizarre and complex vulnerabilities we've ever seen, we'll release proof-of-concept code exploiting the vast, unexplored wasteland of forgotten x86 features, to demonstrate how to jump malicious code from the paltry ring 0 into the deepest, darkest realms of the processor. Best of all, we'll do it with an architectural 0-day built into the silicon itself, directed against a uniquely vulnerable string of code running on every single system.

Das ist ein Architektur-Problem, kein Bug in einer Software, den man patchen könnte...

Code
Präsentation
Whitepaper

Knigge für Programmierer

Ja so was wie den Knigge gibt es auch für die Programmierer:

Optimal indent size for code readability
In this article, we investigate the effects on source code, when using small or large indentation size. Small idention sizes seems to have a negative effect on code readability. Larger ones, the opposite.


Style your webpage like Edward Tufte's handouts.
Every major open-source project has its own style guide: a set of conventions (sometimes arbitrary) about how to write code for that project. It is much easier to understand a large codebase when all the code in it is in a consistent style.


Skipping comments leads to higher quality code
Every now and then I find myself in the discussion of whether we should use comments in our code or not. I believe that comments are often misused as duct tape for bad code and limiting their use leads to higher quality code.

Einfach lächerlich. Browser-Dominanz in W10

Mozilla kritisiert Microsoft: Windows 10 erschwert Browser-Wahl
In einem offenen Brief greift Mozilla-Chef Chris Beard den Microsoft-CEO Satya Nadella an: In Windows 10 sei es schwieriger, den Standard-Browser zu wechseln. Microsoft solle die Entscheidung der Nutzer respektieren.


Was soll den Microsoft noch machen? Warum schreit keiner bei Apple oder Ubuntu?

Ihr seid doch alles nur neidisch.

Was würde wohl Mozilla sagen, wenn Microsoft darauf bestehen würde, dass auf dem Firefox OS der IE mit als Browser installiert werden muss?

Windows 10 und die Privatsphäre

Hmm schade... Hätte Microsoft was besser machen können. Leider.

Hier mal eine Grafik wie man ein wenig den Abfluss der Daten eingrenzen kann.

Mirror

.git Verzeichnisse auf der Webseite

Hatten wir so etwas nicht schon ein mal?

One in every 600 websites has .git exposed
For web developers, exposing your .git folder to the world is a novice mistake. It allows anyone to download your entire source code repository, which often includes database passwords, salts, hashes, and third party API keys or usernames and passwords.

MongoDB Rant

Zum Aktuellen MongoDB Rant gibt es noch was:

If you use MongoDB and like sleeping at night, don't read this line from the source code:

mongodb/ConnectionStatus.java
Because yes, it does indeed use Math.random() to decide whether to report an error condition or just keep merrily going on.


UPDATE:
https://twitter.com/glaforge/status/623455845452541953
Aber es war mal im Code. Ich will nicht wissen wie lange....

UPDATE:
Understanding the MongoDB code that people are laughing at

CD to MP3 mit cdparanoia. OSX und Linux

Es gibt viele Tools die das ohne Probleme machen. Aber wenn man kein iTunes oder sonstige Musikverwaltungssoftware verwendet der muss auf alternative Software umsteigen.

Der Vorteil ist eine unabhängige Musikbibliothek die an keine spezielle Software gebunden ist.

Um nun die Daten von CD zu bekommen verwende ich CD-Paranoia. Ok die Webseite und die Software ist altertümlich aber das CD-Format ja auch, daher funktioniert es ohne Probleme.
cdparanoia -B
extrahiert die eingelegte CD in das aktuelle Verzeichnis.

Nach Abschluss werden mit lame die wav Dateien in mp3 konvertiert.
for file in .wav; do $(lame -V0 "$file" "${file%.wav}.mp3"); done;

Nun die
.wav Dateien löschen:
rm *.wav


Zum erfolgreichen Taggen der MP3 Dateien verwende ich MusicBrainz Picard. Dieses Tool kann der Abgleich, Taggen und umbenennen der Dateien in einem Rutsch. Plus Cover Bild.

Apple, so nicht.

Apple's new <link rel="icon" mask> not-quite-favicon syntax causing problems in other browsers; needs standardization?
Today I discovered that Apple is introducing a new "pinned tab icon" feature, which unfortunately co-opts the existing HTML favicon syntax, and is causing compatibility issues in Firefox Nightly.


I Do Not Agree To Your Terms
If you do not want Apple to include your RSS feeds in News, reply NO to this email and we will remove your RSS feeds.
Wie jetzt?!

Nach Klage: Apple entzieht Monster Zertifikat "Made for i"
Nachdem der Audiospezialist die Apple-Tochter Beats Anfang des Jahres wegen "Betrugs und Piraterie" verklagt hatte, reagiert Cupertino nun geschäftlich. Monster-Geräte dürfen Apples Zertifizierungslogo nicht mehr tragen.

Cataclysm 5.1.1 mit Franco Kernel r75

Mein LG Nexus 5 läuft nun mit Cataclysm 5.1.1 und dem Franco Kernel r75 ohne Probleme.

Weiter so...

Android 5.1.1 auf Nexus 5 mit Cataclysm

Mit dem Custom ROM Cataclysm ist nun mein LG Nexus 5 auf Android 5.1.1.

Offizieller XDA-Developers Beitrag und die Release Notes.

Soweit läuft alles Prima obwohl es noch eine Beta Release ist.

HLStats has been removed from SourceForge

Since SourceForge is not good anymore HLStats has been removed from their site.

The one and only website is: http://www.hlstats-community.org/

WTF des Tages Nr.2: Skype

Ich dachte den WTF des Tages hätte ich schon. Nein Skype rückt da nun auf den Thron:

These 8 characters crash Skype, and once they’re in your chat history, the app can’t start

Skype users have discovered a rather nasty bug in the app. Sending the characters “http://:” (without the quotes) crashes Skype, and receiving a message with those characters makes it crash any time you try to sign in again.

m(

WTF des Tages: Blockchain generierte Gemeinschaftskonto

Durch einen peinlichen Fehler bei der Wahl der Zufallszahlen hat die Android-App "Blockchain" eine große Bitcoin-Wallet für alle erzeugt. Einige Nutzer haben einzahlen lassen, andere bereicherten sich.

Aber Achtung es kommt noch besser:

Die Bitcoin-App Blockchain für Android hat beim Generieren von Bitcoin-Wallets allein auf Zufallszahlen vertraut, die der Online-Dienst Random.org

m(

l+f: Bitcoin-App Blockchain generierte Gemeinschaftskonto

Typumwandlung... Nicht gut

Typumwandlung (englische Version hat mehr Details) hat fast jeden Programmiersprache. Manchmal hat das Vorteile da man schnell mal was zusammenbauen kann.

Leider hat es auch seine Gefahren. Wie hier am Beispiel in PHP zu sehen:

http://3v4l.org/tT4l8

var_dump(md5('240610708') == md5('QNKCDZO'));
var_dump(md5('aabg7XSs') == md5('aabC9RqS'));
var_dump(sha1('aaroZmOk') == sha1('aaK1STfY'));
var_dump(sha1('aaO8zKZF') == sha1('aa3OFF9m'));
var_dump('0010e2' == '1e3');
var_dump('0x1234Ab' == '1193131');
var_dump('0xABCdef' == '     0xABCdef');


Output for 4.3.0 - 4.3.9, 5.0.0 - 5.0.2, 5.2.1 - 5.6.8, php7@20140507 - 20150101, hhvm-3.6.0 - 3.7.0
bool(true)
bool(true)
bool(true)
bool(true)
bool(true)
bool(true)
bool(true)



WTF?

Hier auch die HackerNews Diskussion dazu.