Leserreporter: Wer schöne Verschwörungslinks für mich hat: ab an felix-bloginput (at) fefe.de!
[zurück][ältere Posting][neuere Posting] Freitag, 27 Oktober 2017 | Blog: 12 | No: 39532
Hier gehen gerade einige Anfragen ein, ob ich die Folien meiner Keynote hochladen kann, und vielleicht auch die Keynote davor. Das wollte ich nicht machen, weil ich für die Keynotes meinen Stil etwas geändert habe.
Ich habe sonst immer alle inhaltlichen Punkte auch in Textform auf den Folien. Aber das hat halt auch Nachteile für den "Flow", weil man dann Gefahr läuft, nicht frei zu sprechen sondern vorzulesen.
Daher habe ich mir für die Keynotes vorgenommen, meinen Stil ein bisschen zu ändern, und habe auf mehreren Folien sowas wie "Anekdote: Foo Bar" stehen und erzähle dann die Anekdote frei. Das ist schöner für die Anwesenden, aber es macht halt die Folien unnütz. Ich überlege gerade, ob ich da eine Online-Version mache, wo dann mit kleiner Schriftgröße die Anekdote im Fließtext eingeblendet wird oder so. Schön ist das auch nicht. Eigentlich will man eine Aufzeichnung anhören. Und selbst in der Aufzeichnung werden einige Dinge nicht so gut rüberkommen wie bei dem Live-Event. Ich will das mal an einem Beispiel erläutern. Ich habe bei der Keynote gestern ein Wagnis gemacht, das auch voll nach hinten hätte losgehen können. Und zwar hatte ich als Eröffnung für die Keynote "Herzlich willkommen bei der konstituierenden Sitzung der Selbsthilfegruppe Sichere Software". Dann ein bisschen Einleitung und Exposition und dann ein "Ich bitte um Handzeichen: Wer hier hat schonmal vorsätzlich schlechte Software geschrieben (und ich meine jetzt nicht ein HACKME oder ein schlechtes Beispiel für ein Security-Buch)". Erwartungshaltung war: Null Hände gehen hoch. So war es auch.
Dann habe ich, dem Thema einer "Anonyme Alkoholiker"-Veranstaltung folgend, halt als erster angefangen mit dem Geständnis. Mein Beispiel war ping.c aus mininet. Das hatte in seiner initialen Form einen Textbook-Integer-Overflow drin, super exploitbar, alles prima. Den habe ich natürlich nicht übersehen, sondern ich habe den drin gehabt, weil das nicht als setuid gedacht war und für eine Boot-Floppy, auf der sich eh nur root einloggt, also keine Privilege Escalation, kein Bug. Kein Bug? Doch Bug! Mein Kumpel Ilja hat das gesehen und mich angefeixt und ich habe dann einen Fix eingecheckt. Das ist alles schon Jahre her, aber mein Punkt an der Stelle war: Nur weil es mehr oder weniger gute Ausreden gibt, macht es das ja nicht weniger zu einem Bug!
Meine nächste Folie hatte dann Beispiele, wie wir uns schlechte Software schönreden. Demonstrator! Mockup! Quick Hack! MVP! Nicht für den Produktivbetrieb! Prototyp!
Dann stellte ich die Frage nochmal: Bitte um Handzeichen: Wer hat hier schonmal vorsätzlich schlechte Software geschrieben, und es sich mit Euphemismen und Ausreden schöngeredet?
Und an dieser Stelle hätte das voll nach hinten losgehen können, aber das Publikum hat mitgespielt und es gingen über 80% der Hände hoch. Das wird man auf der Aufzeichnung bestimmt nicht sehen können. Und es ist natürlich der zentrale Drehpunkt von dem Vortrag gewesen, dass die Leute mir zustimmen, dass das, was sie so machen, schlecht ist.
Soweit ich weiß hat der Veranstalter ein Video gemacht, das man online stellen könnte. Ich muss da aber nochmal drübergehen, ob ich mich irgendwo verplappert habe und was rausgepiepst werden sollte, damit sich da niemand bloßgestellt fühlt oder so. Mir ging es ja explizit nicht darum, auf irgendjemanden mit dem Finger zu zeigen, sondern aufzuzeigen, dass wir alle Teil des Problems sind.
[zurück]
[ältere Posting][neuere Posting]
[zurück][ältere Posting][neuere Posting] Freitag, 27 Oktober 2017 | Blog: 12 | No: 39532
Kein Bug?
Ich habe sonst immer alle inhaltlichen Punkte auch in Textform auf den Folien. Aber das hat halt auch Nachteile für den "Flow", weil man dann Gefahr läuft, nicht frei zu sprechen sondern vorzulesen.
Daher habe ich mir für die Keynotes vorgenommen, meinen Stil ein bisschen zu ändern, und habe auf mehreren Folien sowas wie "Anekdote: Foo Bar" stehen und erzähle dann die Anekdote frei. Das ist schöner für die Anwesenden, aber es macht halt die Folien unnütz. Ich überlege gerade, ob ich da eine Online-Version mache, wo dann mit kleiner Schriftgröße die Anekdote im Fließtext eingeblendet wird oder so. Schön ist das auch nicht. Eigentlich will man eine Aufzeichnung anhören. Und selbst in der Aufzeichnung werden einige Dinge nicht so gut rüberkommen wie bei dem Live-Event. Ich will das mal an einem Beispiel erläutern. Ich habe bei der Keynote gestern ein Wagnis gemacht, das auch voll nach hinten hätte losgehen können. Und zwar hatte ich als Eröffnung für die Keynote "Herzlich willkommen bei der konstituierenden Sitzung der Selbsthilfegruppe Sichere Software". Dann ein bisschen Einleitung und Exposition und dann ein "Ich bitte um Handzeichen: Wer hier hat schonmal vorsätzlich schlechte Software geschrieben (und ich meine jetzt nicht ein HACKME oder ein schlechtes Beispiel für ein Security-Buch)". Erwartungshaltung war: Null Hände gehen hoch. So war es auch.
Dann habe ich, dem Thema einer "Anonyme Alkoholiker"-Veranstaltung folgend, halt als erster angefangen mit dem Geständnis. Mein Beispiel war ping.c aus mininet. Das hatte in seiner initialen Form einen Textbook-Integer-Overflow drin, super exploitbar, alles prima. Den habe ich natürlich nicht übersehen, sondern ich habe den drin gehabt, weil das nicht als setuid gedacht war und für eine Boot-Floppy, auf der sich eh nur root einloggt, also keine Privilege Escalation, kein Bug. Kein Bug? Doch Bug! Mein Kumpel Ilja hat das gesehen und mich angefeixt und ich habe dann einen Fix eingecheckt. Das ist alles schon Jahre her, aber mein Punkt an der Stelle war: Nur weil es mehr oder weniger gute Ausreden gibt, macht es das ja nicht weniger zu einem Bug!
Meine nächste Folie hatte dann Beispiele, wie wir uns schlechte Software schönreden. Demonstrator! Mockup! Quick Hack! MVP! Nicht für den Produktivbetrieb! Prototyp!
Dann stellte ich die Frage nochmal: Bitte um Handzeichen: Wer hat hier schonmal vorsätzlich schlechte Software geschrieben, und es sich mit Euphemismen und Ausreden schöngeredet?
Und an dieser Stelle hätte das voll nach hinten losgehen können, aber das Publikum hat mitgespielt und es gingen über 80% der Hände hoch. Das wird man auf der Aufzeichnung bestimmt nicht sehen können. Und es ist natürlich der zentrale Drehpunkt von dem Vortrag gewesen, dass die Leute mir zustimmen, dass das, was sie so machen, schlecht ist.
Soweit ich weiß hat der Veranstalter ein Video gemacht, das man online stellen könnte. Ich muss da aber nochmal drübergehen, ob ich mich irgendwo verplappert habe und was rausgepiepst werden sollte, damit sich da niemand bloßgestellt fühlt oder so. Mir ging es ja explizit nicht darum, auf irgendjemanden mit dem Finger zu zeigen, sondern aufzuzeigen, dass wir alle Teil des Problems sind.
Twiter-Ticker
Fefes Latest Youtube Video Links
Der Betrieb der KraftZeitung kostet Geld. Da wir auch weiterhin unabhängig, überparteilich und ohne kommerzieller Werbung für Sie da sein wollen, sind wir auf Ihre Spende angewiesen. Vielen Dank.
