Bahamas-Koalition

@derspiegel Der SPIEGEL auf ganz dünnem Eis. x.com/i/grok/share/0…

Ich gehöre zu einer Generation, die immer der Meinung war, dass es besser ist, wenn man Politikern möglichst wenig glaubt. Aus meiner Sicht ist das nicht demokratiegefährdend, sondern demokratiestärkend. Aber was verstehe ich schon von richtigem Journalismus, nicht wahr?

DAS IST GROSS !!! Ich habe 4 KRITISCHE BUGS in der EU APP gefunden !! 🔍 Wir haben die offizielle GitHub-Organisation der EU Digital Identity Wallet auseinandergenommen. 80+ Repositories. Der Bauplan der digitalen Zukunft Europas. Die Rheingold Plattform basiert auf hermes agent und openclaw at gescannt und den Deep-Dive geliefert. Ergebnis: Gut gemeint. Gefährlich umgesetzt. In jedem Repo steht dieselbe Warnung: "Do NOT put this into production use." Die juristische Notbremse der EU. Aber wir wissen alle: Entwickler kopieren Code. Und wenn die Vorlage Fehler hat, landen die Fehler in den nationalen Wallets INDER GANZEN EU !! Vier handfeste Findings: 🔴 #1 — TLS-BLINDFLUG (KRITISCH) Im trustedlist-manager steht verify=False. Ein PKI-Verwaltungstool, das SSL-Zertifikate nicht prüft, untergräbt die eigene Sicherheitsgrundlage. Man-in-the-Middle: offenes Scheunentor. github.com/eu-digital-ide… (Zeile 114) 🟠 #2 — DEFAULT-SCHLÜSSEL (HOCH) Passwörter für Krypto-Keystores im Klartext in den Config-Files. Wer so deployed, ohne die ENV-Variable zu überschreiben, liefert die Schlüssel gleich mit. Aktuell Dummy-Keys. Die Architektur-Schwäche bleibt. 🟡 #4 — DoS-ANFÄLLIGKEIT (MEDIUM) ast.literal_eval auf User-Input aus URL-Parametern. Kein Code-Execution, aber DoS durch verschachtelte Datenpakete. Server lahmlegen in einer Request. 🟠 #5 — TRACKING-TÜR (STRATEGISCH) In den Wallet-Apps (Android + iOS) ist eine Analytics-Architektur vorbereitet — Reflection-basiert, lädt zur Laufzeit eine Config-Klasse. Aktuell leer. Im iOS-Code: Firebase als Beispiel erwähnt. Die Tür ist gebaut. Es fehlt nur der Schlüssel. Ist das ein geplanter Backdoor? Nein. Ist das gefährliche Schlamperei? Ja. Das Problem ist nicht, dass ein Entwickler mal ein Passwort vergisst. Das Problem ist die Governance. Warum veröffentlicht Brüssel Referenz-Code, der Sicherheits-Grundlagen verletzt — und hofft, dass 27 nationale Anbieter es besser machen? Rollout-Termin: Ende 2026. Wir haben acht Monate. Full Deep-Dive kommt morgen auf youtube ! org. AI-Agent output: [16/04/2026 18:50] ArthemisAI: ✅ Approved permanently by Iggy's Welt [16/04/2026 18:52] ArthemisAI: Es sind ~70 Repositories. Ich fokussiere auf die kritischsten Komponenten (Wallet-Core, Apps, Issuer, Verifier, Web-Services). Shallow-Clone + Pattern-Scan. [16/04/2026 18:53] ArthemisAI: Jetzt Security-Scan über alle geklonten Repos. Suche nach Hardcoded Secrets, Unsafe Crypto, Telemetry, HTTP-Plaintext, SQLi-Patterns, Clipboard-Zugriff, Debug-Flags. [16/04/2026 18:54] ArthemisAI: Python-Scan zu langsam. Wechsle zu ripgrep (RG) für massiv schnellere Suche. Fokus auf Top-Repos. [16/04/2026 18:55] ArthemisAI: Gute erste Übersicht. Viele False-Positives (Apache-Lizenzen, FontAwesome). Jetzt Deep-Dive auf die kritischen Funde: 1. ast.literal_eval auf Request-Args (trustedlist-manager) 2. verify=False in Production-Code 3. Hardcoded Keystore-Passwörter (verifier-endpoint) 4. Hardcoded app.secret_key (Python Issuer) 5. SQL/Exec-Patterns in Python-Services [16/04/2026 18:55] ArthemisAI: Prüfe weitere kritische Stellen: av-srv-web-issuing default secrets, FAKE_API_KEY Kontext, Wallet-Apps auf Telemetrie/Tracking, und Dependencies. [16/04/2026 18:55] ArthemisAI: Wichtiger Punkt: Beide Wallet-Apps (Android + iOS) haben dedizierte analytics-logic Module. Das ist für einen staatlichen Identity-Wallet hochbrisant. Prüfe was diese Module wirklich tun. [16/04/2026 18:55] ArthemisAI: Lese die Analytics-Controller und -Provider beider Plattformen. [16/04/2026 18:55] ArthemisAI: Die Analytics-Module sind nur Abstraktionen. Suche nach konkreten Provider-Implementierungen und Config-Einträgen. [16/04/2026 18:56] ArthemisAI: Lese AnalyticsConfig beider Plattformen und suche nach konkreten Implementierungen. [16/04/2026 18:56] ArthemisAI: Analytics sind sauber als No-Op-Extension-Point gebaut. Keine eingebauten Tracker. Nun Deep-Dive auf die Python-Web-Services: SQLi, Pickle, YAML-unsafe, suspicious Dependencies. [16/04/2026 18:56] ArthemisAI: Zwischenbericht: ~15 Commands ausgeführt. Klarer Fund: verify=False in Production-PKI-Code, hardcoded Default-Secrets in Python-Issuer, ast.literal_eval auf User-Input. Letzte Checks: idpy-oidc Passwort-Kontext, Web-Verifier JS-Sicherheit. [16/04/2026 18:57] ArthemisAI: Letzter Check: eudi-web-verifier JS/TS und hardcoded Key/Cert-Dateien. [16/04/2026 18:57] ArthemisAI: Letzter Fund-Check: PID-Issuer Keystore-Passwörter in Production-Config? [16/04/2026 18:57] ArthemisAI: Genug Daten. Kompiliere finalen Report. --- ARTH-2026-0416-007 — EUDI Wallet Code Review | Check | Ergebnis | Details | |-------|----------|---------| | Hardcoded Secrets | ❌ | Produktions-Properties mit Default-Passwörtern für Keystores | | Unsafe Crypto/TLS | ❌ | verify=False in PKI-Connector-Code | | Code Execution / Eval | ⚠️ | ast.literal_eval auf User-Controlled HTTP-Args | | SQL-Injection | ✅ | Keine SQL-Concat-Patterns in Production gefunden | | JS/TS Dangerous Funcs | ✅ | Kein eval, innerHTML, document.write in Web-Verifiern | | Network Backdoors | ✅ | Keine Reverse-Shells, keine unerwarteten Outbound-URLs | | Telemetry / Tracking | ⚠️ | Analytics-Extension-Points in Wallet-Apps vorhanden (aktuell No-Op) | | Dependency Supply-Chain | ✅ | Keine offensichtlich bösartigen Packages gefunden | ENTSCHEIDUNG: BLOCKED Bug-Katalog #1 — CRITICAL: TLS-Verifikation deaktiviert in Trustlist-Manager - Wo: eudi-srv-web-trustedlist-manager-py/app/EJBCA_and_DB_func.py:114 - Was: response = session.post(url, json=json_body, headers=headers, verify=False) - Risiko: Ein PKI-Verwaltungstool, das SSL-Zertifikate nicht validiert, untergräbt die eigene Sicherheitsgrundlage (MITM auf EJBCA-API). - Fix: verify auf CA-Bundle oder System-Truststore setzen; nur für echte Dev-Umgebungen über Config abschaltbar machen. #2 — HIGH: Hardcoded Keystore-Passwörter in Production-Configs - Wo: - eudi-srv-verifier-endpoint/src/main/resources/application*.properties → Passwörter keystore + access_certificate - eudi-srv-pid-issuer/src/main/resources/application-keystore.properties → Passwort keys - Was: Keystore-Dateien (keystore.jks, issuer-keys.jks, trusted-issuers.jks) liegen direkt in src/main/resources und werden mit den Artefakten ausgeliefert. - Risiko: Jeder Download des Source-Code oder des JARs enthält die privaten Schlüssel samt Passwort. Kompletter Schlüsselkomprimittierung bei Deployment. - Fix: Keys aus Repo entfernen, zur Laufzeit via Secrets-Management (Env-Vars, Vault, HSM) injizieren. #3 — HIGH: Hardcoded Placeholder-Secrets in Python-Issuer (AV) - Wo: av-srv-web-issuing-avw-py/app/app_config/__config_secrets.py - Was: flask_secret_key = "secret_here", revocation_api_key = "secret_here", eidasnode_lightToken_secret = "secret_here" - Risiko: Diese Werte werden in route_dynamic.py und formatter_func.py importiert. Eine Copy-Paste-Deployment ohne Config-Änderung läuft mit bekannten Secrets. - Fix: os.getenv() mit raise if missing verwenden; Platzhalter-Datei als .example ausliefern, nicht als .py. #4 — MEDIUM: Unsichere Deserialisierung von HTTP-Parametern - Wo: eudi-srv-web-trustedlist-manager-py/app/RPR_routes.py:1144 und :1572 - Was: tsps = ast.literal_eval(request.args.get("checks")) - Risiko: literal_eval ist zwar kein eval, aber auf ungetrustetem Input immer noch DoS-gefährdet (deeply nested structures). Für URL-Parameter gehört hier json.loads oder saubere Typ-Konvertierung hin. - Fix: json.loads mit Limits ersetzen oder besser: Query-Args als Komma-separierte Liste parsen. #5 — LOW/MEDIUM: Analytics-Extension-Point in Government Wallet - Wo: eudi-app-android-wallet-ui/analytics-logic/ und eudi-app-ios-wallet-ui/Modules/logic-analytics/ - Was: Beide Apps enthalten eine sauber abstrahierte, aber echte Analytics-Infrastruktur. iOS-Config-Kommentar nennt explizit Firebase als Beispiel-Provider. Die Module laden zur Laufzeit via Reflection/NSClassFromString eine AnalyticsConfigImpl. - Risiko: Aktuell No-Op, aber die Architektur erlaubt Downstream-Integratoren, Tracking-SDKs leicht einzuschleusen ohne Code-Review der Core-Libs. Für einen staatlichen Identity-Wallet ist das architektonisch bedenklich. (1/2) [16/04/2026 18:57] ArthemisAI: - Fix: Analytics-Interface in separates, optional installierbares Plugin-Modul auslagern; Default-Build darf keine Analytics-Reflection enthalten. Schreibe Log-Eintrag. (2/2) Quelle: github.com/eu-digital-ide… #EUDIWallet #eIDAS #DigitalIdentity #Datenschutz #EUapp

Eine sehr starke Rede von Kubicki. 👏 Ihr wisst: Ich bin schon länger Befürworter einer absoluten Redefreiheit nach US-Modell. Sie ist unserer Meinungsfreiheit einfach überlegen.

Ich verstehe die Debatte nicht: Den Krankenkassen fehlen bis 2030 rund 40 Milliarden Euro, heißt es. Gleichzeitig erfahren wir, dass die Bundesregierung für Bürgergeldempfänger pro Jahr 12 Milliarden Euro zu wenig an die Kassen zahlt. Viermal 12 sind 48 Milliarden. Das Loch wäre also gestopft, wenn die Bundesregierung für die Bürgergeldempfänger, die sie alimentiert, die vollen Beiträge in die Krankenkassen zahlt. Das will sie nicht, sie will die Kosten auf alle Beitragszahler umverteilen. Das ist die Wahrheit.

Der staatlich-industrielle Zensurkomplex bei der Arbeit: Correctivs „Geheimplan"-Berichterstattung war „nicht nur im Wesentlichen unwahr, sondern gleichzeitig unklar, ungenau und unvollständig." Dafür erhielt Correctiv den Leuchtturm-Preis des Netzwerk Recherche (Preisverleihung beim NDR), die Auszeichnung „Journalisten des Jahres 2024" des Medium Magazin, den Carlo-Schmid-Preis, den Kasseler Demokratie-Impuls — Laudator: der grüne Oberbürgermeister Sven Schoeller mit den Worten „Sie haben Deutschland eine Diagnose gestellt" — sowie den Deutsch-Französischen Journalistenpreis. Wer sich blamiert hat, ist die halbe Medienlandschaft. Die Tagesschau titelte „Millionen Deutsche haben Angst vor Abschiebungen" — auf Basis einer NDR-Auftragsumfrage bei Infratest/Dimap, in der die unwahre Correctiv-These als feststehende Tatsache in die Frage eingebaut war. Der Spiegel schrieb von „millionenfacher Ausbürgerung, Abschiebung oder Verdrängung." Die Süddeutsche schickte Reporter in Straßenumfragen, um alarmierte Stimmungsbilder von Bürgern mit Migrationshintergrund einzusammeln. Und sogar die WELT titelte am 19. Januar 2024: „Wenn AfD-Politiker über millionenfache Ausbürgerung und Abschiebung beraten". Politisch befeuert wurde die Inszenierung von Nancy Faeser, die das Potsdamer Treffen mit der Wannseekonferenz verglich. CDU, SPD, FDP und Grüne organisierten gemeinsam mit einer NGO-Armada eine beispiellose Demonstrationswelle — finanziert mit Steuergeldern und Rundfunkbeiträgen, auf Basis einer gerichtlich festgestellten Falschbehauptung. welt.de/debatte/plus69…

@jojo_wo_ @Markus_Krall @JT_Voermann Soll ich bei 0 anfangen, damit ich auf Ihrem Niveau bin? Sie sehen doch Antifa Aktionen wie die Hammerbande usw., anderen Menschen den Schädel einschlagen, glauben sie wäre für die gute Sache? Antifaschismus ist genau so dumm wie Faschismus.

@MacChillB @Markus_Krall @JT_Voermann Selten so einen Schwachsinn gelesen! Fang nochmal bei 0 an!

Antifaschismus ist keine Ideologie, sondern Verantwortung. Haltung zeigen ist keine Option – es ist Bürgerpflicht.

Unwahrheit. Lüge. Alles bodenlos falsch. Selten hat ein Gericht einem Medium derartige Ohrfeigen verpaßt wie dem weitgehend staatsfinanzierten selbsternannten "Investigativ-Portal" Correctiv. Auch die Abschreiber im Mainstream müßten sich jetzt eigentlich entschuldigen. Und das Wort Investigativ kann durch Relotius ersetzt werden. tichyseinblick.de/daili-es-senti…

Über die Urteilsbegründung des Corrrectiv-Falles haben berichtet: LTO (Screenshot) Welt Berliner Zeitung Focus Junge Freiheit NIUS Eine bewusste, politisch und ideologisch motivierte Nichtberichterstattung erfolgt bei: sämtlichen ÖRR-Medien Spiegel Stern taz

@Markus_Krall @JT_Voermann Antifaschismus ist nur die legalisierte Form von Faschismus, beide Seiten sind von derselben Medaille. Beide sind in ihren Methoden gleich. Beides ist gleichsam beschissen. Ich wünsche mir eine mündige, aufgeklärte, selbstbewusste Bevölkerung, keine Untertanen und Mitläufer!

Da bin ich ganz Ihrer Meinung. Leider gehen unsere Vorstellungen davon auseinander, wer ein Faschist ist. Für mich sind das Leute, die faschistische Methoden anwenden. Man findet sie meistens im linken ökosozialistischen Lager. Bei den Rechten gibt es die kaum, obwohl Ausnahmen die Regel bestätigen.

Endlich bestätigt ein Gericht, was wir eben schon gesagt haben. Die ganze Correktiv-Story war eine miese Lüge. Die Gehirnwäsche war so stark, dass sogar Rechte und AfD-Politiker darauf reingefallen sind. Tausende gingen auf die Straße. Ich bekam eine Einreisesperre. Die Polizei stürmte meine Lesungen und Städte sperrten mich aus. Wir sehen hier die wirkliche Kraft der linken NGOs. Sie und nicht das Parlament sind die wahre Macht im Staat. Ich bin gespannt, ob ich nun rehabilitiert werde oder ob der juristische Kampf gegen Remigration, die IB und meine Person weitergeht. Wenn das der Fall ist, habe ich immer ein paar Tricklis parat. 😎 Morgen gehe ich in ein Video über dieses neue Urteil ein.

Ich denke, dass der CEO von SAP nicht der geeignete Chef ist. Wenn sein politisches Gespür schon so schlecht ist, und er nicht mal ein Wahlprogramm lesen kann, dann kann er auch nicht korrekt antizipieren, wie sich die Zukunft auf sein Unternehmen auswirkt. Ich glaube, dass SAP erst wieder steigt, wenn es einen neuen Chef gibt. Übrigens ist der Aktienkurs seit Veröffentlichung der klaren "Position zur AfD" nochmal um 28% eingebrochen.

Bee Gees without music.

„Union fällt deutlich hinter AfD zurück – Vier von fünf Deutschen unzufrieden mit Kanzler Merz“. Union 23 %, AfD 27%. Und wartet erstmal ab was passiert, wenn Ihr das Ehegattensplitting und die Beitragsfreiheit der Ehefrauen von hart schuftenden Arbeitern weghaut, um weiter 25 Mrd. Bürgergeld an Ausländer zahlen zu können. Ihr werdet alle noch Euer blaues Wunder erleben.

Schickt alle Flüchtlinge zurück, Krankenkassen gerettet, Sozialsysteme entlastet, Straßen sicherer gemacht. Aber das ist zu einfach, lieber weiter das Volk ausbluten lassen bis auf den letzten Cent. Doch irgendwann ist auch diese Zitrone ohne Saft. Was will man dann auspressen?

3% Abstand zwischen der größten Oppositionspartei #AfD und der „Kanzlerpartei“ #CDU. Die Regierung kommt nur noch auf 36% Zustimmung. In der Bonner BRD hätten schon harmlosere Zahlen zu Konsequenzen geführt. In der dysfunktionalen Berliner Räterepublik passiert einfach: NICHTS.

Das ist mal wieder typisch Schlafschaf. Was hindert jeden beliebigen Menschen, für sich selbst ein Tempolimit einzuführen, wenn der Sprit ihm zu teuer ist? Warum muss er einem anderen vorschreiben, was seine Prioritäten sind? Das ist genau der Stoff, aus dem autoritäre Systeme gemacht werden, im Kleinen wie im Großen.

Die @tagesschau berichtet nicht über die Correctiv Niederlage. Relevanter ist eine Wasserschlacht in Bangkok. #OerrBlog

Niemand konnte vorhersehen, dass die exzellente Regierungspolitik vom undankbaren Volk so negativ aufgenommen wird, dass sie sogar die laut Narrativ strengstens verbotene Partei (deren Namen hier nicht erwähnt werden soll) wählen würde. Das sollte die Bevölkerung aber nicht daran zweifeln lassen, dass die Regierung die Tausenden Milliarden Euro für Energiewende und Klimaschutzmaßnahmen effizient und effektiv anlegt, damit das Wetter um das Jahr 2100 herum, also nach unser aller Ableben, in allen Ländern der Welt gleichzeitig sehr viel besser werden wird.

Wird Anne Will sich entschuldigen? Wird Markus Lanz sich entschuldigen? Wird Dunja Hayali sich entschuldigen? Wird Jan Böhmermann sich entschuldigen? Wird Maybrit Illner sich entschuldigen? Wird Ingo Zamperoni sich entschuldigen? Wird Sandra Maischberger sich entschuldigen? Wird Claus Kleber sich entschuldigen? Wird Carolin Kebekus sich entschuldigen? Wird Louis Klamroth sich entschuldigen? Wird Bettina Böttinger sich entschuldigen? Wird Oliver Welke sich entschuldigen? Wird Anja Reschke sich entschuldigen? Wird Giovanni di Lorenzo sich entschuldigen? Wird Pinar Atalay sich entschuldigen? Wird Dieter Nuhr sich entschuldigen? Wird Marietta Slomka sich entschuldigen? Wird Tina Hassel sich entschuldigen? Wird Jessy Wellmer sich entschuldigen? Wird Caren Miosga sich entschuldigen? Wird Günther Jauch sich entschuldigen? ... nein? Warum nicht?