Habt ihr bereits einige Follower auf TikTok? Vielleicht bist du sogar eine kleine Berühmtheit? Na dann seid ihr wohl weder übergewichtet, arm oder unansehnlich - wie auch immer man das alles definieren möchte.

Auf The Intercept sind interne Richtlinien für Moderatoren von TikTok veröffentlich worden, die wohl belegen, dass die chinesische Plattform absichtlich hübsche, reiche, schlanke - also was man irgendwie so in diversen Köpfen als attraktiv beschreibt - bevorzugt und höher geranked werden, um mehr Menschen anzuziehen und auf der Plattform zu halten.

Nun gut, das spiegelt genau das wieder, was jeder auch schon auf Instagram wahrnimmt.

Es ist einfach nicht mehr lustig!

Letzte Woche hat das Paket Node-IPC eine Dependency bekommen, die einfach mal nach Erkennung einer russischen IP des Nutzers Dateien von der Festplatte löscht und eine Datei auf dem Desktop anlegt, um gegen den Krieg zu demonstrieren.

Der Entwickler hat wohl nach „einigen“ Beschwerden, wohl auch von NGOs, ein paar Pizzen und Besuch von der örtlichen Polizei bekommen. Natürlich hat er nicht in einem Commit die Abhängigkeiten entfernt, sondern einfach ein Force-Push auf den Master auf einen alten Git-Stand gemacht. Nicht, dass in 2 Jahren noch jemand weiß, was für einen Scheiß er gebaut hat.
Die Härte ist aber: Die Version 11 ist noch im NPM-Repository. Wahrscheinlich bekommt er das da nicht raus. Man hat also eine Malware in NPM, aber keinen Code mehr dazu. Freude!

Aber warte, das ist noch nicht alles!

Jetzt kommt ein GitHub-User namens qpwo um die Ecke und baut einfach mal eine andere Malware für Node.js, die „mal eben“ alle SSH-Keys des Users veröffentlicht. Warum? Um zu zeigen, was für ein Müll NPM ist und wie „toll“ es ist, dass die Funktion um Schadsoftware zu melden einfach wirkungslos bleibt. Sie ist zwar da, aber seit Tagen passiert einfach nichts. Wahrscheinlich kamen da zu viele Tickets zum Thema rein und es war einfacher für Github und Microsoft, also die Eigentümer von NPM, die Augen zuzumachen, statt stärker gegen Malware vorzugehen.

Aber ich muss Node.js nutzen!
Na, ich hoffe doch, da steht niemand neben dir, der dich dazu zwingt. Aber wenn das Kind jetzt in den Brunnen gefallen ist, lass Node.js bitte nur noch und ausschließlich in einer sicheren Umgebung wie etwas Container-mäßigem laufen. Darin solltest du aber natürlich keine Secrets haben, denn die nächste Malware kommt um die Ecke und schiebt nicht nur SSH-Private-Keys, sondern auch alle ENV-Variablen dazu „irgendwohin“ – außerhalb deiner Kontrolle.

Mich stört ein wenig, dass wir inzwischen in Dependency-Höllen angekommen sind. Es ist ja nicht nur NPM, sondern jede moderne Sprache, die Abhängigkeiten von Abhängigkeiten von Abhängigkeiten benötigt und vor der ersten Nutzung erst mal das halbe Internet runterlädt. Erst neulich baute eine Kollegin für ein reines HTML/CSS-Projekt zwei Linter ein: ESLint und Stylelint (+ Stylelint Config Standard). Die Dinger haben 462 Abhängigkeiten installiert. 462! Es ist so kaputt!

Im Reality-Check gibt es ja für normale Entwickler keine Möglichkeit mehr, irgendwem zu vertrauen. Welche Firma, außer der wirklich großen, nimmt sich denn die Zeit, die Abhängigkeiten denn wirklich zu reviewen oder zumindest zu überfliegen?
Und jeder der bei GitHub Repositories mit Node.js Paketen liegen hat, weiß auch, wie oft ein Pull Requests vom Dependabot gestellt werden, die einen darauf hinweisen, wie viele Sicherheitslücken man gerade wieder herumliegen hat.

Das Ökosystem ist so kaputt, aber mich wundert nicht mehr, dass Fefe sich nur noch über das Argument tot lacht: „Softwarefehler, kann man nichts machen!“

Update 1 vom 20.03.22 13:00: In der Readme des absichtlichen Malware-Packages wird zusätzlich davon abgeraten, Docker zu verwenden, da es zu viele Break-out-Schwachstellen gibt, sodass jemand, der dir wirklich Schaden zufügen möchte, das auch schafft.

Update 2 vom 20.03.22 15:07: Markus fragte auf Twitter, was man denn jetzt tun könne. Gute Frage. Wie schon geschrieben, müsstet ihr jetzt theoretisch anfangen, alle Abhängigkeiten zu reviewen. Oder selbst bauen, mit den passenden Folgen – also keine Pflege, Sicherheitslücken usw. Könnt ihr nicht? Tja, das ist jetzt doof.
Am Ende ist die Antwort wie bei euren Hosting-Providern: Vertrauen. Also nicht unbedingt blindes Vertrauen. So etwas kann man als Entwickler auch zügig verlieren. Und wenn ein Paket unzählige Abhängigkeiten hat, geht zunächst davon aus, dass die Entwickler der Library oder des Frameworks keine Ahnung hatten, was sie da tun. Dieser Beitrag dient am Ende nur dazu, die Aufmerksamkeit zu erhöhen für die Probleme, an die man selbst vorher nicht gedacht hat.

Update 3 vom 20.03.22 17:00: Ursprünglich hatte ich geschrieben, dass die Malware-melden-Funktion auf NPM entfernt wurde, allerdings reagiert GitHub/NPM einfach mehrere Tage nicht, wenn man Malware über die Funktion meldet.

Ist es wirklich schon wieder fast 4 Monate her seit dem letzten Blogbeitrag? Und jedes Mal nehm ich mir wieder vor, mehr zu bloggen.

Und ich probiere es jetzt abermals, da es derweil viele Dinge gibt, die mir auf der Seele brennen. Aber das folgt in den nächsten Tagen. 😉

Erinnert ihr euch noch an damals™, am letzten Schultag? Als sich alles verändern sollte? Ich war gerade mal 16 Jahre alt und bei mir ging es dann zur Deutschen Bahn. In die Ausbildung zum Eisenbahner. Wie bei allen Familienmitgliedern (bis auf ganz wenige Ausnahmen) vor mir.

Danach glücklicherweise wieder in Richtung Programmierung. Da war ich dann 19 Jahre alt. Seitdem, also in den letzten 20 Jahren, hab ich nicht nur hobbymäßig programmiert, sondern auch beruflich. Bis auf wenige Stunden am Tag, in denen der menschliche Körper regelmäßig nach dieser überflüssig wirkenden Pause namens „Schlaf” schreit.

In dieser Zeit habe ich viele positive als auch negative Erfahrungen sammeln dürfen. Oft genug hab ich dabei gelernt, wie es nicht geht. Nicht nur in der Entwicklung, sondern auch in geschäftlichen Dingen. Ich habe gelernt, dass Geld eben nicht einfach auf Bäumen wächst und der Chef die Kohle schon irgendwie ranschafft, auch wenn ich mich „heute mal nicht so fühle”. Alles was ich als Arbeitnehmer oder auch als Arbeitgeber entscheide und umsetze, hat Konsequenzen. Das klingt jetzt natürlich irgendwie normal, aber wieviele Menschen kennt ihr, die diese Grundsätze quasi gar nicht verstanden, geschweige denn verinnerlicht haben? Ich kenne davon gar nicht mal so wenige.
Bei aller Liebe zur Firma darf man natürlich die eigene Work-Life-Balance nicht vergessen und Abschalten ist selbstverständlich auch wichtig, um nach der täglichen Pause oder dem Urlaub auch die wieder nötige Konzentration zu haben. Wir werden ja alle nicht jünger 😉

Ich habe mir dabei als Arbeitgeber angewöhnt: „Es geht immer um die Firma!”. Es geht für mich immer darum, dass die Mitarbeiter auch morgen noch ihr Gehalt bekommen. Mein persönliches Leid kann den anderen egal sein – das große Ganze zählt! Ich habe dies auch immer mit in mein Arbeitnehmerleben mitgenommen. Denn auch die Kollegen (und auch ich) wollen morgen noch ihr Gehalt bekommen. Auch der Chef wäre meist ganz angetan davon, seine Firma behalten zu können.
Das ist nicht jedermanns Sache, das gilt jetzt auch erstmal nur für mich.

Aber so wie es aussieht, sind diese Erfahrungen okay für andere. Denn ab morgen darf ich mich CTO bei Contentflow schimpfen. Für ein großartiges Unternehmen mit einem geilen Team bei gleichzeitigem Startup-Feeling.
Im Gegensatz zur viel zu langen Zeit in der Auftragsentwicklung arbeiten wir heute ohne großen Druck, aber trotzdem mit krasser Geschwindigkeit an einem Produkt, das bzw. dessen Notwendigkeit ausgerechnet dank der Corona-Zeit in Deutschland urplötzlich nicht mehr erklärungsbedürftig war: Video-Livestreaming.

Ich freue mich auf die neue Challenge in meiner beruflichen Laufbahn und auf die weitere geile Zusammenarbeit mit dem fantastischen Team (ich hör ja schon auf zu Schleimen!).

Ich lach mich kaputt! Erst wurde bekannt, dass bei GoDaddy “irgendwie” 1,2 Millionen Daten von Managed-Wordpress-Kunden abhanden gekommen sind und jetzt stellt sich heraus, dass auch bei den Sub-Firmen die Wordpress-Kunden-Daten betroffen sind.

Die hier in Deutschland wohl bekanntesten Hoster sind dabei wohl DomainFactory und Host Europe, die noch gar nicht soooo lange zum weltgrößten Hoster gehören.

Dazu kann ich nur folgende Tipps geben:

• bitte benutzt NIEMALS!!!1!elf! Wordpress
• zeigt den Hostern, dass Kundendaten wichtig sind - und Kunden - kündigt schleunigst
• benutzt um Himmels Willen für ALLES unterschiedliche Passwörter - ja, es wurden Admin-Logins und sFTP-Zugangsdaten geleaked

Wie Golem so schön schrieb: Europaparlament fordert Interoperabilität von Messengern.

Und jetzt denken sich die Älteren unter euch: “Wadde ma, das Problem kenn ich doch?!”
Ja, natürlich kennt man das Problem schon länger. Ganz früher™, als wir noch ICQ, AIM, MSN, etc. auf dem Computer hatten, haben wir Messenger wie Pidgin oder Trillian verwendet. Die konnten einfach alle Protokolle. Die waren dann alle 3 Jahre mal kurz kaputt, weil irgendein Hersteller mal was geändert hat, aber die Sperre hielt dann für circa 1 Stunde und dann liefen die Dinger wieder.

Später dann kamen ein paar tolle Protokolle, die das Problem lösen sollten. Eines davon war dann XMPP, auch bekannt als Jabber. Das konnte dann dezentral kommunizieren. Es war erweiterbar, auch beim Thema Verschlüsselung. Eigene Server waren möglich, mit Mabber gab es dann sogar schon Mobilclients, als mobiles Internet pro Megabyte noch gefühlte eine Million Euronen kostete. Dieses Protokoll hat dann Google auch benutzt. Für Google Talk. Damals™, als Google noch einen geilen Messenger hatte.

Warum hat Google das getan? Weil sie zu dem Zeitpunkt noch von einem Planeten geträumt haben, in dem alle Messenger übergreifend miteinander kommunizieren können. Und wer hat da mitgemacht? NIEMAND!
Alle Anbieter wollten die Menschen nur in ihrer Datenbank haben. Sie wollten ihre eigene Werbung ausspielen. Sie wollten gar nicht, dass Menschen, die nicht auf der eigenen Plattform ihre Namen, Adressen, Adressbücher, Photos der Genitalien und Schlüppergröße hinterlegt haben, miteinander kommunizieren.
Was war das Resultat für Google: “Hey, wenn ihr nicht mitmacht, dann brauchen wir jetzt auch nicht interoperabel sein. Dann bauen wir halt ein eigenes Protokoll, das genau das macht, was wir so wollen. Knickt euch doch alle! Pff!”

Und jetzt ratet mal, was als Nächstes kommt, wenn die EU eine solche plattformübergreifende Kommunikation beschließen wird?! Das wird lustig!

Möglichkeit 1: die Anbieter werden dazu gezwungen, untereinander ein Protokoll auszuklügeln, was so verkackt wird, dass es, wie im Golem-Artikel beschrieben, auf Status der SMS wird. Photos hin- und herschicken wird wahrscheinlich unmöglich gemacht, sonst wäre man ja auf MMS-Stand. Gruppen werden nicht umgesetzt. Wird dann niemand nutzen und ist quasi eine Totgeburt.

Möglichkeit 2: Die Anwälte der Anbieter werden eine Lücke im Gesetz suchen (ihr wisst, es wird immer irgendwelche Ausnahmen eingebaut), sodass das Gesetz noch vor Inkrafttreten hinfällig ist.

Möglichkeit 3: Es wird alles besser, als wir doofen Schwarzmaler uns das ausdenken und es wird ein neues Protokoll geben für alle, das total awesome wird und wir haben dann Messenger, die komplett interoperabel werden. Wenn ihr jetzt auch vor Lachen am Boden liegt, habt ihr wahrscheinlich Recht.

Möglichkeit 4: Das wird eine Bridge-Hölle des Todes of Doom bei den Anbietern, die so komplett unbenutzbar, anfällig und ständig offline ist, dass kein User freiwillig diesen Dreck anfasst.

Egal was es wird, außer der Möglichkeit 3 - es wird zum Brechen!

Warum ich hier nur von den Messengern spreche? Weil es für soziale Netzwerke einen eigenen Blogbeitrag bräuchte.

Ich kann es nicht mehr hören - das Gejammer. Das Gejammer der Impfgegner, dass ja alle nur gegen sie sind.

Ich kann es nicht mehr hören - die Heuchelei. Die Heuchelei der Regierung, dass man ja definitiv keine Impfpflicht einführen möchte.

Ich kann es nicht mehr hören - die Lügen. Die Lügen der Impfgegner, die faktentechnisch so einfach zu widerlegen sind, wie die mathematische Rechnung, dass 1+1 = 12 ist.

Und ich glaube, ich bin nicht der Einzige, der das alles nicht mehr hören kann. Im Volksverdummungsapparat (aka Fernseher) wird in einer Talk-Show nach der anderen rumschwadroniert, was das Zeug hält. Jeder Gast ist immer darauf bedacht, dass das Wahlvieh bei der nächsten Wahl auch ja das Kreuz noch bei der Partei das Kreuzchen macht. Ja, ich benutze das Wort „Wahlvieh”, weil wir Menschen in diesem Land nicht mehr zählen. Wir sind nur noch dafür da, „demokratisch” abzustimmen und den Sitz im Parlament zu sichern. Alles andere ist egal.

Anders kann ich mir partout nicht erklären, warum weder unsere noch geschäftsführende, als auch die sich noch in den regierungsbildenden Gesprächen befindliche, neue Regierung keinerlei Anstalten macht, ihr „Wahlvieh” am Leben halten zu wollen.

Sie hören lieber auf eine extrem laute Minderheit, die darüber rumkrakeelt, dass man ihnen ihre Freiheit nimmt, weil sie sich mal ein paar Spritzen geben lassen muss. Ein paar Spritzen mit Impfstoffen, die bisher häufiger als jeder andere Wirkstoff jemals verabreicht und beobachtet wurden. Mit Impfstoffen, die den Krakeelern ihre vermeintlich „genommene Freiheit” wiedergibt, die gerade nur eingeschränkt ist, weil jene Menschen, die glauben, dass sie mit 3 Stunden Youtube ein Medizinstudium ersetzen können, ein komplett verschobenes Weltbild vertreten und sich nicht impfen lassen.

Das Internet zeigt gerade viele Videos mit Menschen, die in anderen Ländern, denen der Schutz ihrer Bevölkerung mehr am Herzen liegt, gegen Pflichten demonstrieren. Sie zeigen nicht den Großteil der Bevölkerung, der geimpft und teilweise geboostert zu Hause sitzt und sich schützt.

Diesen Teil der Bevölkerung müssen wir sichtbar machen. Wir müssen uns radikalisieren. Wir müssen auf die Straßen gehen und dafür kämpfen, dass die Regierung uns vor den Wahnwichteln schützt, die uns das Leben zur Hölle machen.
Aber wir sind zu intelligent. Wir wissen, dass wir uns auf einer Demo anstecken können. Das wollen wir nicht. Also müssen wir uns anderweitig radikalisieren:

• schreibt euren Wahlkreisvertretern im Bundestag Mails mit der Bitte, endlich Maßnahmen zu ergreifen
• lasst die Telefone nicht stillstehen bei Bundestagsabgeordneten und Ministern
• lasst auf Social-Media-Kanälen die Replies und Mentions glühen - macht euch sichtbar
• lasst bei den Medien die Leitungen glühen - schreibt eure Lokalzeitungen wissen, dass wir mehr sind, als die, die bisher schreien

Lasst uns einfach dafür sorgen, dass Corona wirklich zu dem wird, was wir mit der Grippe hatten - eine Krankheit, die zwar Tote fordern wird, aber die beherrschbar wird. Und wenn wir uns dafür in den nächsten 2 Jahren alle halbe Jahr mal für 30 Minuten irgendwo wartend hinsetzen, um uns eine Spritze abzuholen, dann ist das wirklich nicht viel von jedem Einzelnen verlangt.

Was hat das jetzt mit Radikalisierung zu tun? Wir müssen radikal Leute aus ihrer Comfort-Zone ziehen, sichtbar werden und die Menschen in einer Gemeinschaft (auch wenn die Gemeinschaft fast 83 Mio. Einwohner hat) an ihre Rechte und Pflichten erinnern.

Für alle Leser, die diesen Blog noch über die alte FeedBurner-URL https://feeds.feedburner.com/mthie abrufen: bitte stellt eure FeedReader auf die blog-eigene https://mthie.com/post/rss.xml um.

Warum? Weil FeedBurner sowas von in den Maintenance-Modus geht. Bei Google bedeutet das: Ja, läuft noch irgendwie, aber eigentlich haben wir es im Kopf schon abgeschaltet.

Vielen Dank für Ihre Aufmerksamkeit 😎

Oh wow, Star Trek Discovery Staffel 4 soll noch diese Woche erscheinen. Aber nicht in Deutschland. Und nicht mehr auf Netflix.

Nein, man will jetzt Paramount+ an den Start bringen. Aber nicht etwa am kommenden Freitag, sondern im nächsten Jahr. Vielleicht. Und dann irgendwie nur über Sky mit Zusatzkosten. Will heißen: du brauchst Sky Cinema für 12,50 Euro monatlich und bezahlst dann noch extra für die zusätzliche Streaming-Plattform.

Ich weiß gar nicht, wie sehr man legale Angebote eigentlich verkacken kann, aber Paramount setzt definitiv ein Zeichen, dass sie dringend die Zeiten zurück haben wollen, in der Filesharing an der Tagesordnung war. Wir haben mit Netflix, Amazon Prime und Disney+ eigentlich schon genügend Livestreaming-Dienste in Deutschland, mehr werden die Menschen da draußen nicht buchen! Wirklich nicht. Zumindest nicht, solange sie noch monatliche Gebühren für öffentlich-rechtliche Sender zahlen müssen und/oder für Kabel-Anschlüsse.

Eigentlich bin ich ja froh, dass die Musik-Industrie seit Erscheinen von Spotify & Co. quasi aufgegeben haben mit dem gröbsten Bullshit (wir reden nicht drüber, dass seitdem die Musik auch nur noch Bullshit ist) - aber die Filmindustrie will mal wieder ihre eigenen Fehler machen. Unfassbar.

Update 1:

Paramount hat bekannt gegeben, dass man ihren Dienst auch ohne Sky buchen können wird. Das ist jetzt grundsätzlich erstmal toll, aber das negiert keinen der anderen Punkte oben - in Deutschland sind wir nicht so stark verbunden mit einzelnen Filmstudios, von daher wird es für die Zuschauer schwierig zu entscheiden, welchen Dienst man abonnieren will.

Oder kennt ihr jemanden, der jetzt sofort losschreit: “Also die Filme von Paramount und 20th Century sind meine Lieblinge, HBO und Sony guck ich nicht so gern!” Das ist halt einfach auch Humbug!

Es ist soweit: Ich wurde das erste Mal seit meiner Account-Erstellung am 2.4.2007 auf Twitter gesperrt!

Warum?

Nunja, was soll ich sagen - wegen automatischer Mechanismen, die weiterhin keine Ahnung haben, was sie da tun. Weil sie Zynismus, Sarkasmus und andere lustige Dinge einfach nicht erkennen und unterscheiden können.

Zuerst schrieb ReneHamburg auf Twitter folgenden Post:

Wir alle kennen ja das übliche Problem, dass Menschen erst auf Probleme aufmerksam werden, wenn es sie selbst betrifft. Also antwortete ich wie folgt:

Jeder klar denkende Mensch weiß auch ohne Kontext des Originaltweets, worauf ich hinaus will: Zynisch darauf reagieren, mit der Erkenntnis aus der DSGVO-Pleite damals, als erst bei Inkrafttreten die Firmen angefangen haben, sich damit zu beschäftigen. Aber woher soll ein automatischer Filter das wissen?

Was lernen wir daraus?

1. Es gibt weiterhin keine KI (künstliche Intelligenz). Alles, was wir bisher sehen ist eine krude Ansammlung von IF-ELSE-Anweisungen gepaart mit statistischen Erhebungen der Trainingsdaten. So funktioniert Intelligenz aber nur bedingt.
2. Meine Bestrebungen der letzten Jahre, also das Loslösen von zentralen Systemen zur Verbreitung von Inhalten, werde ich weiter vorantreiben. Also Mastodon statt Twitter, Blog statt Facebook, Websites statt (a)sozialer Medien.
3. Menschen davor warnen, die in Punkt 2 benannten zentralen Systeme zu nutzen.

Eine Sache dürfen die Menschen nie vergessen: je mehr Regierungen und Regierungsvereinigungen (wie z.B. die EU) glauben, man könne Kritik, Beleidigungen, etc. automatisch erkennen, sperren und anzeigen lassen, desto schlimmer wird es mit solcherlei Sperrungen auf eben jenen Plattformen.

Update 1

Wie lange die Sperrung dauert? Nunja, ich durfte den Tweet löschen, obwohl ich nicht weiß weshalb und habe jetzt für “nur” 12 Stunden einen Shadow Ban - ich kann mich also einloggen und lesen, aber nichts machen - kein Like, keine DM, keine Tweets, kein whatever.