Posts by TLDR

    Ich habe dieselbe Mail auch bekommen, aber für eine WordPress-Seite. Also wirklich dieselbe, auch mit derselben OBB-Nummer.


    Also mal davon abgesehen, dass die "Security Researcher" dort keinen guten Job machen, und auch OpenBugBounty nicht hält, was es verspricht, glaube ich hier nicht daran, dass es "ernst gemeint" ist.


    1. Die OBB-Nummer (OBB-2897797) ist dieselbe wie in meiner Mail

    2. Bei OBB gibt es für die Domain auch keinen Eintrag

    3. Vorherige Mails von OBB hatten einen Link zu dem Eintrag in der Datenbank, der fehlt hier komplett


    Was ich mit dem Vorwurf meine, dass die Researchers keinen guten Job machen und auch OBB nicht gut ist:


    Die Mails, die ich in der Vergangenheit bekommen habe, haben 3 Arten von Sicherheitslücken "aufgedeckt".


    Einmal, dass der WordPress-RPC-Dienst einen Bruteforce-Login erlaubt. Das schlägt aber WordFence nach 10 Versuchen tot, sodass man quasi keine Möglichkeit hat, auf die Weise reinzukommen.


    Dann, dass besagter WP-RPC-Dienst die Methode pingback.ping erlaubt, was zum Spammen und DoS fremder Installationen genutzt werden kann - was ich aber mit einem kleinen Hack in meinen Installationen deaktiviert habe.


    Und das aller schärfste war, dass es Links gab, die sich mit target="_blank" aber ohne rel="noopener" öffnen - was Browser aber schon lange Zeit automatisch so interpretieren, weshalb der noopener unnötig ist. Der Researcher hat mir dazu sogar ein PoV geschickt, das bei ihm angeblich ging, bei mir aber nicht, wollte auch ein Video schicken, aber davon habe ich nie wieder gehört.[1][2][3]


    OpenBugBounty behauptet auch, dass sämtliche gemeldeten Lücken auch von der Plattform selbst verifiziert wurden. Aber das ist offensichtlich nicht der Fall. Oder nur lieblos.


    Deshalb gebe ich jetzt auf die Mail nicht allzu viel. Aber du kannst ja mal nachfragen :)


    [1] https://www.chromestatus.com/feature/6140064063029248 Seit Chrome 88 implementiert

    [2] https://developer.mozilla.org/…/HTML/Link_types/noopener Note: Setting target="_blank" on <a> elements now implicitly provides the same rel behavior as setting rel="noopener" which does not set window.opener.

    [3] https://developer.apple.com/do…safari-12_1-release-notes Updated the link behavior for "target=_blank" to include rel="noopener" implicitly.

    Proton soll richtig, richtig gut sein. Das Steam Deck, was dann mal demnächst kommen soll, läuft unter Linux und dank Proton soll mittelfristig der gesamte Steam-Katalog auf dem Handheld laufen. Den aktuellen Stand kann man in der Datenbank sehen:

    Steam Deck :: Verifiziert für das Steam Deck
    Das Steam Deck ist ein leistungsstarker Handheld-Gaming-PC mit allen Steam-Spielen und Funktionen, die Sie lieben.
    www.steamdeck.com


    Und mit Rosetta 2 dürfte es dann ARM64-nativ werden.

    Naja das Problem ist ja das die Spiele für arm kompiliert sein müssen. Das das bei wow so ist wusste ich gar nicht aber bei Steam Games mag ich das bezweifeln das sie das sind.

    Proton und Rosetta 2?


    https://de.wikipedia.org/wiki/Proton_(Software)

    Wenn du Rosetta auf deinem Mac installieren musst
    Mit Rosetta 2 kann ein Mac mit Apple Silicon-Chip Apps verwenden, die für einen Mac mit Intel-Prozessor entwickelt wurden.
    support.apple.com

    Das kann ich nachvollziehen Alexander Ebert, aber die Sache ist die: Der Arbeitsspeicher ist 64 GB groß in meinem MBP und war seit dem letzten Reboot niemals voll belegt. Ich habe keine Ahnung, warum das Memory Management es für eine gute Idee hält, den Swap zu benutzen. Es sind buchstäblich mehrere GB an RAM verfügbar (weil frei).


    Es sei denn, es kommt daher, dass die ganzen Systemdienste alle an einem schlimmen Fall von Memory-Leaks leiden.

    Wenn du immer wieder auf denselben 1,5 TB herumtrampelst: Schon möglich

    Nun, also die SSD ist ja bekanntermaßen fest verlötet, also muss ich Apple vertrauen, dass die schon mal was von Trim und Wear Leverage gehört haben. TRIM ist laut Festplatten-Dienstprogramm jedenfalls aktiviert. Das andere weiß ich nicht.

    - Ist das normal, dass das M1 Gerät trotzdem schneller ist

    Ja, weil der M1 dank seiner Architektur halt schneller ist.

    - die von dir geschilderte Situation, dass es swappt: Inwiefern ist das relevant, wenn ich es als Nutzer nicht merke?

    Anfangs nicht, aber die SSD wird mit der Zeit langsamer. Im Anhang ist ein Speedtest von heute. Das ist das MBP 16 von 2019, also 2 Jahre alt. Beim Lesen und Schreiben gab es jeweils 1 GB/s mehr, als es neu war.


    Achso und die SSD ist 2 TB groß und war noch nie voller als 500 GB. Also am Wear "sollte" es eigentlich nicht liegen.

    Naiv formuliert: Ob der Rechner sein Zeug im RAM oder auf der SSD lagert ist mir egal, solange die Arbeitsgeschwindigkeit für mich akzeptabel ist.

    Ich denke, das das ist, wo der Eindruck herkommt, dass man beim M1 mit weniger RAM auskommt als bei Intel. Aber Blick in Akti-Anzeige zeigt, dass Programme hier wie da gleich viel RAM brauchen.

    Für mich denkbare Probleme sind ein erhöhter Verschleiß der SSD, da sie ja für sowas nicht vorgesehen ist und der RAM dafür schlicht besser geeignet ist.

    Das ist das Ziel für mich, wieso ich 64 GB nehmen würde.

    Dazu ist der RAM auch viel-viel schneller als die SSD. (200/400 GB/s RAM vs. 7,5 GB/s SSD)

    Ich beziehe mich auf meine Aktivitätsanzeige (Intel) und die eines Angestellten, der ein M1 MBP hat, wo ähnlicher Käse steht nach einer gewissen Uptime.


    Dass man mit weniger RAM "auskommt" ist ein Effekt daraus, ist ein Resultat aus der verdammt schnellen SSD, wo man in vielen Fällen das Swapping nicht mehr wahrnimmt. Aber es ist dennoch vorhanden.

    Wenn ich 11 GB an Dateien im Cache habe, 23 GB frei und trotzdem fast 3 GB im Swap, dann ist die Architektur egal, dann ist das Management kaputt. Weil dann habe ich 44 GB zur Verfügung, und der schreibt stattdessen trotzdem lieber 3 GB auf die Festplatte.


    Bei mir saugen sich auch diverse Dienste mit Speicher voll je länger die Uptime ist. Wie kernel_task, corespotlightd, Nachrichten, mds_stores und auch installd (obwohl gerade nichts installiert wird).

    Mal eine andere Frage:


    Wem muss man denn ans Bein pinkeln, um Windows 11 zu bekommen? Bei mir klebt hier nur so ein unnötig großer Banner in den Wndows-Updates und behauptet, dass "wir das Update vorbereiten". :/


    (Ist nur der "Gaming"-Ryzen (mit der GT1030), da wäre es nicht soo wild, wenn Windows 11 noch nicht so toll wäre)