vNotes

Wochenrückblick KW 24/2018

Ein kleiner Überblick über diese (wirklich ruhige) Woche:

Diese Woche fand die Computermesse Cebit statt, aber in einem komplett neuen Format … mehr Festival-artig. Das Endergebnis: 120.000 Besucher.
Ironie der Geschichte: das Besondere elektronische Anwaltspostfach wird verklagt.
Bisher konnten iOS-Geräte durch das Ansteuern bestimmter Software über USB ausgelesen werden. Dieses Verhalten wird nun ab iOS 12 erschwert.
Ein interessantes Problem bei Apple: wer ein neues Apple-Device kaufen möchte, erhält immer ältere Hardware, da die Mac-Generationen lt. einem Software-Studio unzureichend aktualisiert werden.
Adyen, ein PayPal-Konkurrent, der demnächst von eBay unterstützt wird, ging diese Woche an die Börse – recht erfolgreich.

Let’s Encrypt Wildcard-Zertifikate erneuern

Vor gut 90 Tagen schrieb ich bereits über die neue Funktion der Wildcard-Zertifikat bei Let’s Encrypt. Nun steht – wie auch bisher – der renew an.

Hier nur zwei Anmerkungen: wer die Prozedur zur Erstellung genau nach meiner Anleitung durchgeführt hat, wird (wie ich vor einigen Wochen) merken, dass der Renew nicht geht. Grund: ein renew kann nur durchgeführt werden, wenn das Verfahren unattended läuft – und das ist bei manueller Erstellung nicht möglich. Es gibt aber zwei Lösungen:

Lösung 1: nochmal das exakt gleiche Kommando ausführen. Überraschend: so wie ich das probiert habe, verzichtet certbot auf ein -0001-Verzeichnis. Wäre gut, wenn mir ein Dritter das evtl. bestätigen kann (info@v-gar.de you know :))

Lösung 2: DNS-Plugin einsetzen. Das ist etwas komplizierter und hängt auch wirklich vom Anbieter ab. Kurz zusammengefasst: hiermit ist es möglich, dass die TXT-Records für die Challenge per Provider-API gesetzt werden und der Prozess somit keinem manuellen Eingriff bedarf. Wie genau das funktioniert werde ich evtl. gesondert behandeln. Für den Moment kann ich aber nur einen Verweis auf die Dokumentation geben.

Wochenrückblick KW 23/2018

Ehrlich gesagt ist diese Woche (außer der “einschlagenden” ersten Meldung) nicht viel passiert. Trotzdem ein kleiner Überblick:

Letzte Woche schon vermutet, wurde es Montag nun verkündet: GitHub wurde von Microsoft gekauft.
Neuigkeiten gab es nun von der Linux Foundation (deren “Chef” immerhin Git entworfen hat), die dazu Stellung nimmt und sich über die Übernahme offenbar erfreut zeigt.
Der Rundfunkbeitrag könnte schon bald an die Inflation gekoppelt sein. Warte, wozu haben wir die dann überhaupt noch?
Noch mehr Microsoft: das Unternehmen versucht immer weiter seine Kühlung zu optimieren. Neuste Idee: RZs im Meer versenken.
Die USA haben wieder den schnellsten Supercomputer.
Diese Woche wurde außerdem der legendäre 8086er-Prozessor 40 Jahre alt.
Der Yahoo Messenger wird eingestellt.

Microsoft kauft GitHub

Kurz angemerkt: es wurde schon am Wochenende gemunkelt, jetzt ist es in trockenen Tüchern: der US-Softwarekonzern kauft GitHub, einen bekannten Anbieter für das Hosting von Code-Repositories mittels Git-SCM, für sage und schreibe 7,5 Milliarden US-Dollar. Starkes Stück.

Über GitHub werden viele Open Source-Projekte gehostet, zumal die zugrunde liegende Software Git als Open Source-Software für die Entwicklung des Linux-Kernels entwickelt wurde. GitHub hat seit längerem eine ähnliche Bedeutung wie Sourceforge.net bisher.

GitHub soll unabhängig weiterarbeiten, so der Blogbeitrag vom Portal zu dem Thema. Neuer GitHub-CEO wird Nat Friedman, Xamarin-Gründer (bekannt für Mono).

Wer mehr dazu lesen möchte: GitHub Blog, Microsoft Blog, Heise online

Wochenrückblick KW 22/2018

Diese und die nächsten Wochen stehen viele Projekte und Aufgaben bei mir an. Deswegen wird es in nächster Zeit einen kürzeren Wochenrückblick geben, zumal das Format insgesamt momentan überarbeitet wird. Ja, es gibt bald Neuerungen. 🙂

Die aktuellste Nachricht zu Erst: der Hamburger Flughafen ist heute offline. Richtig offline.
Postillon-Leser wissen es bekanntlich früher: während Punk Lonny Mausblatt bereits seit 2014 Kartenzahlung akzeptiert, zieht nun auch die Stadt London nach und führt mit iZettle für Straßenmusiker kontaktlose Zahlungen ein.
Microsoft überlegt momentan GitHub zu kaufen. Im Gespräch seien 5 Mrd. US-Dollar.
Steam hat seit über 10 Jahren eine Sicherheitslücke im Client und es ist scheinbar niemandem aufgefallen.
Angriff der Woche: über einen Seitenkanal mittels CSS den Inhalt eines iframes auslesen. Über bösartige Seiten konnte man so ein iframe einbinden und den Inhalt dann auslesen. Warum das so besonders ist? Naja, weil man ja auch facebook.com auslesen kann, während der Nutzer angemeldet ist. Betroffen waren Firefox und Chrome. Der Internet Explorer/Edge war wohl nicht betroffen, weil … 😀 sie die Funktion gar nicht unterstützen. Security by non-existence eben.

In eigener Sache: DSGVO

Kurz angemerkt: die Abmahnwelle ist angelaufen. Und auch die Kanzlei WBS hat auf YouTube bereits ein Video zu dem Thema veröffentlicht.

Folgenlos zieht dies an diesem Blog nicht vorbei, es gibt einige Änderungen. Zum einen ist die Kommentarfunktion nun seit einiger Zeit deaktiviert. Leserbriefe und Kommentare können gerne weiterhin gem. meiner Datenschutzerklärung an info@v-gar.de gesandt werden, ich freue mich über jeden (konstruktiven) Kommentar auf diesem Weg.

Die zweite Änderung ist etwas tiefgreifender. Im Abmahnärger geht es auch darum, dass der Datenschutzerklärung eingewilligt werden soll, bevor Daten zu Google über Google Fonts übertragen werden. Bei WordPress, dem bei mir eingesetzten Blogsystem, von dem ich demnächst weg migrieren werde, ist das schon etwas schwieriger in der Umsetzung. Daher nun die “Datenschutzerklärungs-Dampframme” oder diplomatischer, der “Privacy Consent Checker”.

Hierbei handelt es sich um ein vor mir auf GitHub open source veröffentlichtes PHP-Script, das sich insbesondere für WordPress eignet. Die Arbeitsweise ist dreckig und tut einem Softwareentwickler in der Seele weh, aber es funktioniert. Kurz zusammengefasst: wenn kein Lese-Cookie erkannt wird, wird auf jeder Seite des Blogs eine HTML-Seite mit der Datenschutzerklärung und Möglichkeit zur Kenntnisnahme angezeigt. Erst nach einer Lesebestätigung (und dem Setzen des Cookies) wird WordPress geladen. Vorteil: man kann vorher sogar schon das Matomo-Opt-Out machen. Außerdem wird die Datenschutzerklärung gezeigt, *bevor* Google Fonts geladen wird.

Umgesetzt wird dies durch Einbinden des Scripts in der index.php (das ist der besondere dreckige Part, weil ich keine Hooks nutze/nutzen kann und WordPresss das wohl bei jedem Update überschreiben wird). Dank URL-Rewriting wird diese ja jedes Mal diese bootstrap-artige index.php aufgerufen und ich kriege es global auf dem Blog umgesetzt.

Web Crawler und Feed-Parser sind von dieser Aktion nicht betroffen und dürften ungestört die Seite lesen können.

Wie gesagt, Code ist auf GitHub. Über Mitarbeit und Hilfe bei der Übersetzung in andere Sprachen würde ich mich sehr freuen. Das Script entstand sehr kurzfristig und hat demnach noch etwas Potential. Der Einsatz des Scripts erfolgt auf eigene Gefahr, es kann keine Haftung übernommen werden.

Abschließend gesagt: ich hoffe, dass sich diese Unklarheiten/Grauzonen bzgl. der Umsetzung der DSGVO zeitnah klären werden und sehe dieses Script nur als temporäre Lösung!

Ich freue mich über (E-Mail) Feedback!

Wochenrückblick KW 21/2018

Es ist Mal wieder Sonntag und eine spannende Woche geht zu Ende. Aber eins nach dem anderen. „Wochenrückblick KW 21/2018“ weiterlesen

Wochenrückblick KW 20/2018

Dieser Wochenrückblick kommt etwas verspätet, weil nicht nur Pfingsten über die Tage war, sondern auch viel an meiner App CapriPix gefeilt wurde. Aber der Reihe nach.

Am Anfang der Woche war die Frage, ob E-Mail noch sicher ist – es ging um Efail. Das Zwischenergebnis: die Plugins decken verschiedene Edge-Cases nicht ab, mit denen es möglich ist, den entschlüsselten Inhalt der Nachrichten per GET-Request aus einem Bild einfach dem Angreifer nach Hause zu schicken. SEHR ärgerlich, die Verschlüsselung an sich wurde aber nicht geknackt. Zum Glück.

Vor zwei Wochen berichtete ich, das Google Chrome nun automatisch nach Vorlieben des Nutzers Autoplay-Inhalte blockt. Naja, nun doch nicht mehr. Gab wohl zu viele false positives.

Herrlich, so bringt man also Fake News und DSGVO zusammen! 😀 Gute Nachrichten übrigens in der Frage: WordPress unterstützt nun scheinbar die Datenlöschung und -einsicht für Anfragen Betroffener. Das erspart (bzw. u.U. ermöglicht erst) die Datenbank zu durchforsten nach solchen Daten.

Google One ist sozusagen Google Drive “Plus”. Der Name soll aber trotzdem bleiben. Wäre ja sonst zu durchsichtig. 😉 Unter diesem Namen werden die Speicherplatzerweiterungen geführt, die sich nun auch in der Familie teilen lassen.

Auch in den Medien letzte Woche präsent: Dashcams sind verboten, aber zugelassen.

Heute Abend (18:15 Uhr) wird Mark Zuckerberg im EU-Parlament öffentlich angehört. Gepostet wurde das übrigens auf … Facebook.

Mein mit Abstand beliebtester Artikel ist ja der über das Snapchat-Update, das SEHR SEHR viele verärgert. In Auftrag gegeben wurde das übrigens vom Chef persönlich nach einem China-Aufenthalt.

Und zum Schluss: die Bundesregierung will ermöglichen, dass deutsche Bürger mit ständigem Aufenhalt im Ausland nun auch eine De-Mail-Adresse eröffnen können. Warte, DAS WAR BISHER NOCH NICHT MÖGLICH?!

Efail

[Breaking] Wie Sebastian Schinzel, Professor an der Fachhochschule Münster schreibt, sind momentan die Implementierungen zu den verbreiteten Verfahren PGP und S/MIME zur Verschlüsselung von E-Mails akut angreifbar. Siehe Tweet:

We'll publish critical vulnerabilities in PGP/GPG and S/MIME email encryption on 2018-05-15 07:00 UTC. They might reveal the plaintext of encrypted emails, including encrypted emails sent in the past. #efail 1/4

— Sebastian Schinzel (@seecurity) 14. Mai 2018

There are currently no reliable fixes for the vulnerability. If you use PGP/GPG or S/MIME for very sensitive communication, you should disable it in your email client for now. Also read @EFF’s blog post on this issue: https://t.co/zJh2YHhE5q #efail 2/4

— Sebastian Schinzel (@seecurity) 14. Mai 2018

Here are @EFF’s guides for disabling PGP/GPG in Thunderbird https://t.co/ybfIJOSCS7, Apple Mail https://t.co/TvmOw99rR5, and Outlook https://t.co/FCMivzRZ6S. #efail 3/4

— Sebastian Schinzel (@seecurity) 14. Mai 2018

This is joint research with Damian Poddebniak, @dr4ys3n, @jensvoid @Murgi @seecurity @cryptosorcerer @jurajsomorovsky and Jörg Schwenk from @fh_muenster, @ruhrunibochum, @LeuvenU. #efail 4/4

— Sebastian Schinzel (@seecurity) 14. Mai 2018

Auch die EFF warnt nun und rät, bis auf Weiteres die Verschlüsselung zu deaktivieren und andere Kanäle zu nutzen. Weitere Informationen sollen morgen folgen.

[Update 13:28 Uhr] BSI-Pressemitteilung zur Thematik

[Update 13:29 Uhr] Änderung im Text: die Implementierungen sind angreifbar, die Verfahren selbst sollen nach aktuellem Stand noch sicher sein

[Update 13:46 Uhr] Artikel von Netzpolitik.org. Es geht scheinbar in erster Linie um aktive Inhalte. EFail.de ist eine Übersichtssetie zur Thematik. Hier befindet sich das dazugehörige Paper.

[Update 13:50 Uhr] Zusammengefasst:

In a nutshell, EFAIL abuses active content of HTML emails, for example externally loaded images or styles, to exfiltrate plaintext through requested URLs.

– https://efail.de/

[Update 13:56 Uhr] Empfehlenswert im Paper ist Seite 11, Table 4. Hier ist aufgelistet, bei welchen Clients akuter Handlungsbedarf herrscht. Mozilla Thunderbird soll demnach sehr angreifbar sein (S/MIME und alle PGP-Varianten), Evolution nur bei S/MIME und der Kommandozeilenclient Mutt – oh Wunder – gar nicht (der weiß mE nicht Mal, wie er ein Bild aufrufen kann, aber das rettet ihn scheinbar). Roundcube-Admins aufgepasst: hier muss auch gehandelt werden.