Wochenrückblick KW 20/2018

Dieser Wochenrückblick kommt etwas verspätet, weil nicht nur Pfingsten über die Tage war, sondern auch viel an meiner App CapriPix gefeilt wurde. Aber der Reihe nach.

Am Anfang der Woche war die Frage, ob E-Mail noch sicher ist – es ging um Efail. Das Zwischenergebnis: die Plugins decken verschiedene Edge-Cases nicht ab, mit denen es möglich ist, den entschlüsselten Inhalt der Nachrichten per GET-Request aus einem Bild einfach dem Angreifer nach Hause zu schicken. SEHR ärgerlich, die Verschlüsselung an sich wurde aber nicht geknackt. Zum Glück.

Vor zwei Wochen berichtete ich, das Google Chrome nun automatisch nach Vorlieben des Nutzers Autoplay-Inhalte blockt. Naja, nun doch nicht mehr. Gab wohl zu viele false positives.

Herrlich, so bringt man also Fake News und DSGVO zusammen! 😀 Gute Nachrichten übrigens in der Frage: WordPress unterstützt nun scheinbar die Datenlöschung und -einsicht für Anfragen Betroffener. Das erspart (bzw. u.U. ermöglicht erst) die Datenbank zu durchforsten nach solchen Daten.

Google One ist sozusagen Google Drive “Plus”. Der Name soll aber trotzdem bleiben. Wäre ja sonst zu durchsichtig. 😉 Unter diesem Namen werden die Speicherplatzerweiterungen geführt, die sich nun auch in der Familie teilen lassen.

Auch in den Medien letzte Woche präsent: Dashcams sind verboten, aber zugelassen.

Heute Abend (18:15 Uhr) wird Mark Zuckerberg im EU-Parlament öffentlich angehört. Gepostet wurde das übrigens auf … Facebook.

Mein mit Abstand beliebtester Artikel ist ja der über das Snapchat-Update, das SEHR SEHR viele verärgert. In Auftrag gegeben wurde das übrigens vom Chef persönlich nach einem China-Aufenthalt.

Und zum Schluss: die Bundesregierung will ermöglichen, dass deutsche Bürger mit ständigem Aufenhalt im Ausland nun auch eine De-Mail-Adresse eröffnen können. Warte, DAS WAR BISHER NOCH NICHT MÖGLICH?!

Efail


[Breaking] Wie Sebastian Schinzel, Professor an der Fachhochschule Münster schreibt, sind momentan die Implementierungen zu den verbreiteten Verfahren PGP und S/MIME zur Verschlüsselung von E-Mails akut angreifbar. Siehe Tweet:

Auch die EFF warnt nun und rät, bis auf Weiteres die Verschlüsselung zu deaktivieren und andere Kanäle zu nutzen. Weitere Informationen sollen morgen folgen.

[Update 13:28 Uhr] BSI-Pressemitteilung zur Thematik

[Update 13:29 Uhr] Änderung im Text: die Implementierungen sind angreifbar, die Verfahren selbst sollen nach aktuellem Stand noch sicher sein

[Update 13:46 Uhr] Artikel von Netzpolitik.org. Es geht scheinbar in erster Linie um aktive Inhalte. EFail.de ist eine Übersichtssetie zur Thematik. Hier befindet sich das dazugehörige Paper.

[Update 13:50 Uhr] Zusammengefasst:

In a nutshell, EFAIL abuses active content of HTML emails, for example externally loaded images or styles, to exfiltrate plaintext through requested URLs.

– https://efail.de/

[Update 13:56 Uhr] Empfehlenswert im Paper ist Seite 11, Table 4. Hier ist aufgelistet, bei welchen Clients akuter Handlungsbedarf herrscht. Mozilla Thunderbird soll demnach sehr angreifbar sein (S/MIME und alle PGP-Varianten), Evolution nur bei S/MIME und der Kommandozeilenclient Mutt – oh Wunder – gar nicht (der weiß mE nicht Mal, wie er ein Bild aufrufen kann, aber das rettet ihn scheinbar). Roundcube-Admins aufgepasst: hier muss auch gehandelt werden.

Wochenrückblick KW 19/2018

Eine weitere Woche ist um. Da ich momentan viel an PictureNotes bzw. dessen neuer Android-App CapriPix arbeite, hier “nur” fünf interessante Artikel/Seiten aus dieser Woche:

  • In den letzten Tagen fand die alljährliche Google-Entwicklerkonferenze I/O statt. Der Assistant kann mittlerweile alleine telefonieren und Linux kommt auf die Chromebooks.
  • K9 Mail nutzt scheinbar noch TLS 1.0. Das ist echt schade, da K9 aus meiner Sicht einer der wenigen leistungsfähigen Android-E-Mail-Clients auf Open Source-Basis ist. Die längst überfällige Umstellung auf Material Design hängt scheinbar immer noch in der Schleife und solche sicherheitsrelevanten Mängel sind echt … ärgerlich.
  • Nutzt wer MediaWiki? Für größere Wikis setze ich es teils selber ein, da im Gegensatz zum sonst sehr guten DokuWiki z.B. Templating sehr einfach ermöglicht wird. Deutlich schwieriger sind jedoch Modifikationen außerhalb des Contents, da dort meist auf Configfiles zurückgegriffen werden muss. Seeseekey zeigt, wie man bspw. den Footer verändern kann.
  • Mozilla Firefox 60 ist da. Sören Hentzschel erklärt in gewohnt sehr hoher Qualität die Veränderungen des Releases.
  • Das Thema DSGVO wird uns noch die nächsten Wochen etwas beschäftigen. Wer momentan beim Umstellen bzw. Anpassen ist, findet in diesem GitHub Awesome eine ganz nette Checklist als roten Faden.

CapriPix veröffentlicht (DE/EN)

English version below

Es ist bereits einige Zeit her, seit dem ich das PictureNotes-Projekt angekündigt habe. Viele Monate wurden Konzepte ausprobiert, getestet und die Funktionalität ausgebaut. Dabei wurde neben einem zeitgemäßen Design auch auf Benutzerfreundlichkeit (UX) gesetzt. Deswegen freue mich sehr, nun mit der Version 0.7.1 den ersten öffentlichen Release der Android-App vorzustellen! Aber warum CapriPix? „CapriPix veröffentlicht (DE/EN)“ weiterlesen

URL-Shortener Atajlio

Vor gut einem Monat hat Google angekündigt, seinen hauseigenen URL-Shortener goo.gl einzustellen. Schade, denn ich habe den Dienst sehr gerne genutzt, um z.B. Artikel auf Twitter zu verteilen. URL-Shortener ermöglichen es, aus einer langen URL eine kurze zu erstellen, welche dann auf die ursprüngliche weiterleitet. „URL-Shortener Atajlio“ weiterlesen