x1gma

Been a few days since using electron, but AFAIK electron can't be used as a wrapper for android apps, or can it? Or is their android app a web app wrapped into a "native" android app too?

Also, since this seems to be an issue since 2018, 6 years should be plenty to rewrite using a native secure storage...

Kinda expected the SSH key argument. The difference is the average user group.

The average dude with a SSH key that's used for more than their RPi knows a bit about security, encryption and opsec. They would have a passphrase and/or hardening mechanisms for their system and network in place. They know their risks and potential attack vectors.

The average dude who downloads a desktop app for a messenger that advertises to be secure and E2EE encrypted probably won't assume that any process might just wire tap their whole "encrypted" communications.

Let's not forget that the threat model has changed by a lot in the last years, and a lot of effort went into providing additional security measures and best practices. Using a secure credential store, additional encryption and not storing plaintext secrets are a few simple ones of those. And sure, on Linux the SSH key is still a plaintext file. But it's a deliberate decision of you to keep it as plaintext. You can at least encrypt with a passphrase. You can use the actual working file permission model of Linux and SSH will refuse to use your key with loose permissions. You would do the same on Windows and Mac and use a credential store and an agent to securely store and use your keys.

Just because your SSH key is a plaintext file and the presumption of a secure home dir, you still wouldn't do a ~/passwords.txt.

How in the fuck are people actually defending signal for this, and with stupid arguments such as windows is compromised out of the box?

You. Don't. Store. Secrets. In. Plaintext.

There is no circumstance where an app should store its secrets in plaintext, and there is no secret which should be stored in plaintext. Especially since this is not some random dudes random project, but a messenger claiming to be secure.

Edit: "If you got malware then this is a problem anyway and not only for signal" - no, because if secure means to store secrets are used, than they are encrypted or not easily accessible to the malware, and require way more resources to obtain. In this case, someone would only need to start a process on your machine. No further exploits, no malicious signatures, no privilege escalations.

"you need device access to exploit this" - There is no exploiting, just reading a file.

These were casual, mutual conversations that sometimes leaned too much in the direction of being inappropriate, but nothing more. Nothing illegal happened, no pictures were shared, no crimes were committed, I never even met the individual. [...] That’s on me as an adult, a husband and a father.

Jesus fucking christ. If you, as a father, are "leaning too much in the direction of being inappropriate" with a minor, you're a fucking pedophile. There is nothing to discuss that's leaning into being inappropriate with a minor, except if you're a pedophile. Trying to make it sound less of an issue just because there weren't pictures sent, is a pathetic attempt of an excuse for being a pedophile.

For being so real and no filter, there's a fucking lot of sugarcoating for admitting the fact that he sexted with a minor.

I specifically don't get how you can do that as a father, and even being the complete asshole that he is, not even once thinking that the victim could be his own child. I really wonder what he would say about such a tweet in this case.

Absolutely fucking disgusting.

It might be, but to be fair, that's what the glorified autocompletion is actually good for, if it's actually used a supporting tool, and not to pump out quantity over quality.

Man, the disclaimer at the bottom that Business Insider is partnered with OpenAI to allow them to train on their articles is really the cherry on top.

If you can not install anything, your only choice is probably to set up a pihole or something similar on your network.

Edit: Some models seem to have advanced settings, where you can change the DNS - you could try to use adguard dns servers, or any DNS adblocker you want to use.

Einige Dinge stehen noch nicht fest, wie: [...]

• technische Betreuung (deren Admins und unsere?), [...] Lasst euch von den 1200€ Kosten pro Monat, die von der Foundation angegeben werden, nicht erschrecken, wir erwarten Kosten im niedrigen 3-stelligen Bereich, zumal ihre Technik die Größe eines kleinen Rechenzentrums hat. Sie lassen ihre Instanzen auf Kubernetes-Clustern laufen, die nicht proportional zum Traffic kosten, dafür aber nicht ausgelastet sind und so höhere Kosten als nötig haben. [...] Was haltet ihr von alldem?

Disclaimer: Ich habe keine Ahnung wie eure Absprachen konkret aussehen, und wer konkret mit welchem Skillset beteiligt ist. Ich arbeite selbst seit ~10 Jahren in der IT, und habe auch diverse Erfahrungen mit Kubernetes. Seht folgendes daher bitte nicht als Angriff, "Akchually" oder Klugscheißerei, sondern nur als food for thought. Wenn ihr diese Dinge bedacht habt, ist alles super.

Die technische Betreuung solltet ihr auf jeden Fall klären, bevor ihr dort startet. Was ich so mitbekommen habe ist lemmy zu hosten nicht gerade trivial, mit der potentiellen Komplexität von Kubernetes könnt ihr euch schnell noch zusätzliche Probleme einhandeln - hier sollte auf jeden Fall jemand parat sein der zumindest den Cluster voll im Griff hat - gerade wenn man im Plural von mehreren Clustern und einem eigenen Rechenzentrum spricht.

Auch beim Thema Kosten und eure Erwartung dazu, würde ich stark zur Vorsicht raten. Ressource Management ist eine der Komplexitäten von Kubernetes, und ist schon sehr vielen anderen zur Kostenfalle geworden. Hier wurde ich auch vor allem hellhörig das man 1.2k für nicht ausgelastete Cluster bezahlt, da hier auch die Stärke davon liegt, und ein pay-as-you-go Modell gut möglich und oft genutzt wird. Klar, das das auf einem eigenen Rechenzentrum nicht geht - klingt für mich aber dennoch ziemlich wild.

Falls euch das bewusst ist, und ihr diese Risiken tragen könnt - coole Sache.

Ansonsten Glückwunsch das es hier zu einer Kooperation und scheinbar einer deutlichen "Professionalisierung" kommt, und ich ziehe meinen Hut vor den Beteiligten die das alles aufgebaut haben.

Kein Anwalt oder ähnliches, persönliche Meinung aus meiner Erfahrung.

Zu Punkt 1. Wenn du kein ALG beziehen möchtest, und dir dir nicht sicher bist ob du bis dahin einen neuen Job findest, solltest du unterschreiben. Selbst wenn sich die Kündigungsfrist verlängert, kannst du in der Regel ja mit deinem neuen Arbeitgeber ein Eintrittsdatum bestimmen, welches dann eben nach den X Monaten deiner Kündigungsfrist liegt.

Zu Punkt 2. Du wirst nicht befördert. Wenn Dein Personalchef das einmal wegen Bullshit abgelehnt hat, wird er das wieder tun. Lass deine Beschreibung aktualisieren, und fordere ggfs. am Ende auch ein Arbeitszeugnis ein. Denk an dich, und nehme alles was dich weiterbringt mit.