Wochenrückblick KW 24/2018

Ein kleiner Überblick über diese (wirklich ruhige) Woche:

Let’s Encrypt Wildcard-Zertifikate erneuern

Vor gut 90 Tagen schrieb ich bereits über die neue Funktion der Wildcard-Zertifikat bei Let’s Encrypt. Nun steht – wie auch bisher – der renew an.

Hier nur zwei Anmerkungen: wer die Prozedur zur Erstellung genau nach meiner Anleitung durchgeführt hat, wird (wie ich vor einigen Wochen) merken, dass der Renew nicht geht. Grund: ein renew kann nur durchgeführt werden, wenn das Verfahren unattended läuft – und das ist bei manueller Erstellung nicht möglich. Es gibt aber zwei Lösungen:

Lösung 1: nochmal das exakt gleiche Kommando ausführen. Überraschend: so wie ich das probiert habe, verzichtet certbot auf ein -0001-Verzeichnis. Wäre gut, wenn mir ein Dritter das evtl. bestätigen kann (info@v-gar.de you know :))

Lösung 2: DNS-Plugin einsetzen. Das ist etwas komplizierter und hängt auch wirklich vom Anbieter ab. Kurz zusammengefasst: hiermit ist es möglich, dass die TXT-Records für die Challenge per Provider-API gesetzt werden und der Prozess somit keinem manuellen Eingriff bedarf. Wie genau das funktioniert werde ich evtl. gesondert behandeln. Für den Moment kann ich aber nur einen Verweis auf die Dokumentation geben.

Wochenrückblick KW 23/2018

Ehrlich gesagt ist diese Woche (außer der “einschlagenden” ersten Meldung) nicht viel passiert. Trotzdem ein kleiner Überblick:

Neues Social Media-Urteil zum Datenschutz

Eigentlich würde ich viel lieber über andere Themen wie OSS oder Photographie schreiben, aber das ist einfach momentan zu akut:

“Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für  die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite
verantwortlich” – wer das im Anbetracht der letzten Tage liest, kann den Kopf schütteln. Aber lest selbst.

Zurückzuführen war lt. Heise online der Prozess auf die Unterlassungsansprüche des ULD gegen Fanpagebetreiber aus dem Jahre 2011, die in einem Fall einen sieben Jahre langen Rechtsstreit mit sich zogen.

Vereinfachter O-Ton: wer FB-Pages betreibt, erhält dank Stats Einblick in die Demographie, etc. seiner Nutzerschaft und verarbeitet ja somit Nutzerdaten. Dann muss aber auch der Datenschutz eingehalten werden, da man aus diesen ja Werbekampagnen ableiten kann.

Das Problem: es gibt nun mehr neue Fragen als Antworten. Facebook und der Fanpagebetreiber teilen sich nun also die Verantwortung. Wie lässt sich das umsetzen? Hängt nun alles von der Aktivierung der Statistikfunktion ab? Wie löst man die im Papier erwähnte Cookie-Problematik? Bietet nicht YouTube Analytics ähnliches an? Fragen über Fragen.

Microsoft kauft GitHub

Kurz angemerkt: es wurde schon am Wochenende gemunkelt, jetzt ist es in trockenen Tüchern: der US-Softwarekonzern kauft GitHub, einen bekannten Anbieter für das Hosting von Code-Repositories mittels Git-SCM, für sage und schreibe 7,5 Milliarden US-Dollar. Starkes Stück.

Über GitHub werden viele Open Source-Projekte gehostet, zumal die zugrunde liegende Software Git als Open Source-Software für die Entwicklung des Linux-Kernels entwickelt wurde. GitHub hat seit längerem eine ähnliche Bedeutung wie Sourceforge.net bisher.

GitHub soll unabhängig weiterarbeiten, so der Blogbeitrag vom Portal zu dem Thema. Neuer GitHub-CEO wird Nat Friedman, Xamarin-Gründer (bekannt für Mono).

Wer mehr dazu lesen möchte: GitHub Blog, Microsoft Blog, Heise online

Wochenrückblick KW 22/2018

Diese und die nächsten Wochen stehen viele Projekte und Aufgaben bei mir an. Deswegen wird es in nächster Zeit einen kürzeren Wochenrückblick geben, zumal das Format insgesamt momentan überarbeitet wird. Ja, es gibt bald Neuerungen. 🙂

In eigener Sache: DSGVO

Kurz angemerkt: die Abmahnwelle ist angelaufen. Und auch die Kanzlei WBS hat auf YouTube bereits ein Video zu dem Thema veröffentlicht.

Folgenlos zieht dies an diesem Blog nicht vorbei, es gibt einige Änderungen. Zum einen ist die Kommentarfunktion nun seit einiger Zeit deaktiviert. Leserbriefe und Kommentare können gerne weiterhin gem. meiner Datenschutzerklärung an info@v-gar.de gesandt werden, ich freue mich über jeden (konstruktiven) Kommentar auf diesem Weg.

Die zweite Änderung ist etwas tiefgreifender. Im Abmahnärger geht es auch darum, dass der Datenschutzerklärung eingewilligt werden soll, bevor Daten zu Google über Google Fonts übertragen werden. Bei WordPress, dem bei mir eingesetzten Blogsystem, von dem ich demnächst weg migrieren werde, ist das schon etwas schwieriger in der Umsetzung. Daher nun die “Datenschutzerklärungs-Dampframme” oder diplomatischer, der “Privacy Consent Checker”.

Hierbei handelt es sich um ein vor mir auf GitHub open source veröffentlichtes PHP-Script, das sich insbesondere für WordPress eignet. Die Arbeitsweise ist dreckig und tut einem Softwareentwickler in der Seele weh, aber es funktioniert. Kurz zusammengefasst: wenn kein Lese-Cookie erkannt wird, wird auf jeder Seite des Blogs eine HTML-Seite mit der Datenschutzerklärung und Möglichkeit zur Kenntnisnahme angezeigt. Erst nach einer Lesebestätigung (und dem Setzen des Cookies) wird WordPress geladen. Vorteil: man kann vorher sogar schon das Matomo-Opt-Out machen. Außerdem wird die Datenschutzerklärung gezeigt, *bevor* Google Fonts geladen wird.

Umgesetzt wird dies durch Einbinden des Scripts in der index.php (das ist der besondere dreckige Part, weil ich keine Hooks nutze/nutzen kann und WordPresss das wohl bei jedem Update überschreiben wird). Dank URL-Rewriting wird diese ja jedes Mal diese bootstrap-artige index.php aufgerufen und ich kriege es global auf dem Blog umgesetzt.

Web Crawler und Feed-Parser sind von dieser Aktion nicht betroffen und dürften ungestört die Seite lesen können.

Wie gesagt, Code ist auf GitHub. Über Mitarbeit und Hilfe bei der Übersetzung in andere Sprachen würde ich mich sehr freuen. Das Script entstand sehr kurzfristig und hat demnach noch etwas Potential. Der Einsatz des Scripts erfolgt auf eigene Gefahr, es kann keine Haftung übernommen werden.

Abschließend gesagt: ich hoffe, dass sich diese Unklarheiten/Grauzonen bzgl. der Umsetzung der DSGVO zeitnah klären werden und sehe dieses Script nur als temporäre Lösung!

Ich freue mich über (E-Mail) Feedback!

Wochenrückblick KW 20/2018

Dieser Wochenrückblick kommt etwas verspätet, weil nicht nur Pfingsten über die Tage war, sondern auch viel an meiner App CapriPix gefeilt wurde. Aber der Reihe nach.

Am Anfang der Woche war die Frage, ob E-Mail noch sicher ist – es ging um Efail. Das Zwischenergebnis: die Plugins decken verschiedene Edge-Cases nicht ab, mit denen es möglich ist, den entschlüsselten Inhalt der Nachrichten per GET-Request aus einem Bild einfach dem Angreifer nach Hause zu schicken. SEHR ärgerlich, die Verschlüsselung an sich wurde aber nicht geknackt. Zum Glück.

Vor zwei Wochen berichtete ich, das Google Chrome nun automatisch nach Vorlieben des Nutzers Autoplay-Inhalte blockt. Naja, nun doch nicht mehr. Gab wohl zu viele false positives.

Herrlich, so bringt man also Fake News und DSGVO zusammen! 😀 Gute Nachrichten übrigens in der Frage: WordPress unterstützt nun scheinbar die Datenlöschung und -einsicht für Anfragen Betroffener. Das erspart (bzw. u.U. ermöglicht erst) die Datenbank zu durchforsten nach solchen Daten.

Google One ist sozusagen Google Drive “Plus”. Der Name soll aber trotzdem bleiben. Wäre ja sonst zu durchsichtig. 😉 Unter diesem Namen werden die Speicherplatzerweiterungen geführt, die sich nun auch in der Familie teilen lassen.

Auch in den Medien letzte Woche präsent: Dashcams sind verboten, aber zugelassen.

Heute Abend (18:15 Uhr) wird Mark Zuckerberg im EU-Parlament öffentlich angehört. Gepostet wurde das übrigens auf … Facebook.

Mein mit Abstand beliebtester Artikel ist ja der über das Snapchat-Update, das SEHR SEHR viele verärgert. In Auftrag gegeben wurde das übrigens vom Chef persönlich nach einem China-Aufenthalt.

Und zum Schluss: die Bundesregierung will ermöglichen, dass deutsche Bürger mit ständigem Aufenhalt im Ausland nun auch eine De-Mail-Adresse eröffnen können. Warte, DAS WAR BISHER NOCH NICHT MÖGLICH?!

Efail


[Breaking] Wie Sebastian Schinzel, Professor an der Fachhochschule Münster schreibt, sind momentan die Implementierungen zu den verbreiteten Verfahren PGP und S/MIME zur Verschlüsselung von E-Mails akut angreifbar. Siehe Tweet:

Auch die EFF warnt nun und rät, bis auf Weiteres die Verschlüsselung zu deaktivieren und andere Kanäle zu nutzen. Weitere Informationen sollen morgen folgen.

[Update 13:28 Uhr] BSI-Pressemitteilung zur Thematik

[Update 13:29 Uhr] Änderung im Text: die Implementierungen sind angreifbar, die Verfahren selbst sollen nach aktuellem Stand noch sicher sein

[Update 13:46 Uhr] Artikel von Netzpolitik.org. Es geht scheinbar in erster Linie um aktive Inhalte. EFail.de ist eine Übersichtssetie zur Thematik. Hier befindet sich das dazugehörige Paper.

[Update 13:50 Uhr] Zusammengefasst:

In a nutshell, EFAIL abuses active content of HTML emails, for example externally loaded images or styles, to exfiltrate plaintext through requested URLs.

– https://efail.de/

[Update 13:56 Uhr] Empfehlenswert im Paper ist Seite 11, Table 4. Hier ist aufgelistet, bei welchen Clients akuter Handlungsbedarf herrscht. Mozilla Thunderbird soll demnach sehr angreifbar sein (S/MIME und alle PGP-Varianten), Evolution nur bei S/MIME und der Kommandozeilenclient Mutt – oh Wunder – gar nicht (der weiß mE nicht Mal, wie er ein Bild aufrufen kann, aber das rettet ihn scheinbar). Roundcube-Admins aufgepasst: hier muss auch gehandelt werden.