@kuketzblog Das sieht bestimmt nur so aus. Tarnung! Feinde verwirren!

@kuketzblog 😬

@kuketzblog, sind halt Experts ..

@kuketzblog Wo schreibst Du das eigentlich? :D Hab auf Deinem Twitter-Profil geschaut, aber da steht der Tröt noch nicht als Tweet und im Fediverse gibt’s kein Luca.

@kuketzblog hat das jemand dem @bsi gemeldet?

@kuketzblog und tschüss Luca... War schön mit Dir, NICHT!

@kuketzblog Das ist schon krass!

@kuketzblog die sind echt dümmer als die Polizei erlaubt. 🤦

@kuketzblog

@kuketzblog 😩 Da sind ja echte Helden am Werk! 😣 🔨

@kuketzblog Fun-Fact: um das Ding wieder aus dem git raus zu bekommen hilft nur das Löschen und Neuanlegen des Repos - ohne die Datei.

@kuketzblog Die Sachen, die man im Initial Commit unter "password" oder "dev only" findet, sind hoffentlich auch nur Platzhalter. 😀

@kuketzblog Fehlalarm:
"This key is for local development and helps you to set up the local environment faster.
It is not a production key."
https://gitlab.com/lucaapp/web/-/issues/5

@kuketzblog Ist nicht das einzig tolle: https://nitter.pussthecat.org/bkastl/status/1382045599223185416#m

@kuketzblog Sieht mir auf den ersten Blick nach einem Testzertifikat mit zugehörigem Private Key aus.

Certificate chain
 0 s:C = DE, ST = Berlin, L = Berlin, O = Luca, OU = Local Development
   i:C = DE, ST = Berlin, L = Berlin, O = Luca, OU = Local Development

Auf der anderen Seite kenne ich mich mit OpenSSL nur recht rudimentär aus, insofern...

@kuketzblog hat mal wer geschaut, ob public und private key zusammenpassen?

@kuketzblog Tatsache 🤯

https://app.luca-app.de/api/v3/notifications/traces @kuketzblog

Ich glaube, dass hier ist etwas für dich @bkastl

@kuketzblog das tut sogar physisch weh

@Sh3rl0ckH0lm3s @kuketzblog

Nur ein Epic Fail am Tag!

@rufposten @kuketzblog macht das die Sache besser? Ich denke, nicht. So etwas gehört never ever in ein git Repository!

@ostfriese @kuketzblog
Ja, da fehlen mir jetzt ein bisschen die Expertenkenntnisse, weswegen ich mich nicht zu weit aus dem Fenster lehne, aber ich würde denken: warum denn nicht, wenn das ein selbstgeneriertes Zertifikatspaar ist und damit ein lokaler Funktionstest der Software durchgeführt werden soll/kann? Luca wird ja nicht aus diesem öffentlichen Repo gebaut.

@rufposten @kuketzblog ganz einfach: (private) Keys und sonstige Zugangsdaten gehören weder in den Code der Anwendung noch als Dateien in das git Repsository. Das ist ein absolutes No-Go!

@kuketzblog
Was ist das hier eigentlich für ein toxischer Haufen? Direkt werden die Entwickler als dumm und doof betitelt und dann stellt sich raus, dass es nur ein Demo-Cert ist 😔

@kuketzblog du hättest natürlich auch mal openssl drauf werfen können, vor dem nachfragen…

@kuketzblog Wäre vermutlich besser gewesen.
Ich finde, das ganze luca desaster tut auch teilen der Netzpolitik/IT-Sec community nicht gut. Aus berechtigtem Schadenfreudebedürfnis werden kleine handwerkliche Schwächen vorschnell genau so aufgebauscht wie fette design flaws aka lucatrack.