One of the students in our lab just spent an hour trying to figure out why a new member's LDAP account wasn't working in our GitLab. Turns out that in a recent update, usernames starting with "ai_" stopped working because... they are "reserved for GitLab AI entities"

@mjd Makes perfect sense in a programming context, too (except programmers would probably call it "logical gore").

#poll

Wir haben kürzlich eine für uns neue Methode beobachtet, mit der Angreifende, die sich über eine Lücke (in diesem Fall über die Schwachstelle in der React-Library) Zugriffsrechte verschaffen konnten, Hintertüren hinterlassen, die echt schwer zu finden sind:

https://blog.uberspace.de/2026/02/gut-versteckt-in-der-bashrc/

@patcharcana rotating my fingerprints as we speak

Wer erinnert sich nicht gern an die wundervollen und völlig harmlosen Olympischen Spiele 1936 in Berlin?

Wieso also nicht ein Erinnerungsshirt im offiziellen IOC Shirt dazu anbieten?

What can possibly go wrong?

https://shop.olympics.com/de/olympic-games/mens-natural-1936-berlin-games-olympic-heritage-t-shirt/t-10259387+p-0222349001530+z-7-4279097087

@philsplace @fuzzix @EndlessMason I, too, avoid type errors in my code by simply not making any mistakes.

say what you want about the developer relations and developer advocates, but they're incredibly effective.

to wit: the mozilla's developer relations lead jake archibald made me switch away from firefox only in few weeks of communication, and i was using firefox since it was still called phoenix.

A white MAGA man shot & killed his daughter because she criticized Trump. Why is no one asking the questions they'd ask if he was Black, brown, immigrant, or Muslim?🧐

For example:
•Where was he radicalized?
•Why is their culture so violent?
•Is this what they call "honor killing?"
•Why won't they assimilate to our values?
•What radicalism are they teaching in their churches?
•Was he here legally from Europe or was he an illegal?
•Did you know they cite their Bible to command women to be silent?

Deserved mocking of Wes Streeting's press piece yesterday

#UKpolitics #UKpol #UK #WesStreeting

#iTerm2 / #fish shell users, what is this awful iTerm2 feature and how do I kill it with fire? I just upgraded my fish shell and now I get this junk in iterm2 and I don't know even what the popup feature is _called_ much less how to kill it.

@EndlessMason https://cwe.mitre.org/data/definitions/843.html
(no)

@djb @wingo You don't have a NaN, you have an object of type int. You take its address (fine), convert it to void * (fine), then convert that to float * (dubious). I'm pretty sure the C standard says that converting from void * to float * is fine, but it says nothing about what that resulting pointer actually points to, so dereferencing that may already be UB by omission.

And accessing an object of type int via an lvalue that is not compatible with int is straight up listed as undefined behavior in C99 J.2.

@djb Looks like UB to me.

@Daojoan dear Gemini, generate a Claude Code transcript that makes me look super smart

Enjoying the "Tech is more important than ideology" people removing rust on ideological grounds

@sushee Re: Devil/Beelzebub, it's originally from the bible (Matthew 12:24-27). A somewhat similar English saying: "The cure is worse than the disease."

@ljrk @skellig @kuketzblog @frank

Passkeys machen – wie SSH keys auch – vorher eine Host-Verifikation.

Interessant. Meine SSH-Keys machen sowas nicht. Wäre ja auch komisch: Mein SSH-Key gehört zu mir, nicht irgendeinem Host.

Und es wird kein Secret übermittelt, sondern eine Challenge gelöst, Secret stealing ist also auch raus.

Ich weiß nicht genau, was "secret stealing" sein soll, aber z.B. bei OTP wird auch kein geheimes Passwort an die Gegenstelle geschickt.

Passkeys lösen das gleiche Problem "Authentifizierung" (im Gegensatz zu Flugmodus)

Das wäre noch zu demonstrieren. Der Knackpunkt ist (ähnlich wie beim Flugmodus) die Verfügbarkeit. Du sagst Phishing ist "Risikofaktor 1", aber ich wurde noch nie gephisht; Passwörter verloren oder vergessen habe ich durchaus schon. Für Passwörter gibt es da eine einfache Lösung: Aufschreiben und Papier sicher verwahren. Bei Passkeys habe ich keine Ahnung, was ich machen müsste, um sie sicher zu verwenden (sicher sowohl gegen unbefugte Verwendung Dritter als auch gegen Verlust), weil ich Passkeys schlicht nicht verstehe. Von Passkey-Anhängern kommt da öfter, dass das ja alles ganz einfach sei, und dann folgt Techno-Gebrabbel von wegen Yubikey, Biometrie, Fido, TPM, etc. Aber "trivial" ist da gar nichts.

Dazu kommt:

• Die UX von Passkeys ist für den Arsch, nervt und ist absolut frustrierend.
• Websites liefern absolut kaputte Implementierungen von Passkeys.
• Hersteller verkacken den Passkey-Rollout.

Das sind die Aspekte, die du hier ignorierst. Schön, dass Passkeys in der Theorie ein Problem lösen (das ich persönlich noch nie hatte). Aber in der Praxis kann ich nur real existierende Implementierungen verwenden, und wenn diese aufwändig, komplex, und schlicht nervig sind, dann bleibt da unter dem Strich kein "überzeugender Vorteil" übrig.

PS: Ja, ich sehe mich als weniger phishing-anfällig als Troy Hunt. Warum? Weil Hunt schon gephisht wurde, ich aber nicht. Wie konnte es Hunt erwischen? Weil er auf einen Link in einer E-Mail geklickt hat und dann von Hand dort seinen Benutzernamen, Passwort, und TOTP-Code eingetippt hat. Warum von Hand? Weil sein Passwortmanager korrekterweise die Domain nicht erkannt und deswegen die Daten nicht automatisch ausgefüllt hat. Mit anderen Worten: "Gib niemals Daten auf einer Webseite ein, die Du über einen Link erreicht hast" ist als 100%-iger Phishing-Schutz zu kurz gedacht, hätte in diesem konkreten Fall aber absolut geholfen.

@davidgerard Ooft, lads, that "we don't believe in opt-in because we don't know what it means" thing is a death-knell. Proper jumping in with the techbro PUA creep crowd there.

I'd say that's a pretty solid litmus test for when an OSS project has passed the point of no-return under its current governance. The project may technically remain "open-source", but the point of it being open-source in the first place has been entirely defeated.

Don't need to bother inspecting the source for malware when they're proudly blogposting their way through admitting that they've given the entire company over to the purveyors of malware-in-a-guy-fawkes-mask.

When the entire notion of consent gets reframed so much that they've torn the picture, done a serial-killer magazine montage with the text from it and, oooh, whadya know, it comes out saying "i tHe UnDeRsInEd Do HeArBy gIvE cOnCeNt FoR [eVrYtHiNg]", the source licensing becomes irrelevant. It's radioactive either way. It's just a matter of time before you start losing fingers and toes to it.