Wochenrückblick KW 20/2018

Dieser Wochenrückblick kommt etwas verspätet, weil nicht nur Pfingsten über die Tage war, sondern auch viel an meiner App CapriPix gefeilt wurde. Aber der Reihe nach.

Am Anfang der Woche war die Frage, ob E-Mail noch sicher ist – es ging um Efail. Das Zwischenergebnis: die Plugins decken verschiedene Edge-Cases nicht ab, mit denen es möglich ist, den entschlüsselten Inhalt der Nachrichten per GET-Request aus einem Bild einfach dem Angreifer nach Hause zu schicken. SEHR ärgerlich, die Verschlüsselung an sich wurde aber nicht geknackt. Zum Glück.

Vor zwei Wochen berichtete ich, das Google Chrome nun automatisch nach Vorlieben des Nutzers Autoplay-Inhalte blockt. Naja, nun doch nicht mehr. Gab wohl zu viele false positives.

Herrlich, so bringt man also Fake News und DSGVO zusammen! 😀 Gute Nachrichten übrigens in der Frage: WordPress unterstützt nun scheinbar die Datenlöschung und -einsicht für Anfragen Betroffener. Das erspart (bzw. u.U. ermöglicht erst) die Datenbank zu durchforsten nach solchen Daten.

Google One ist sozusagen Google Drive “Plus”. Der Name soll aber trotzdem bleiben. Wäre ja sonst zu durchsichtig. 😉 Unter diesem Namen werden die Speicherplatzerweiterungen geführt, die sich nun auch in der Familie teilen lassen.

Auch in den Medien letzte Woche präsent: Dashcams sind verboten, aber zugelassen.

Heute Abend (18:15 Uhr) wird Mark Zuckerberg im EU-Parlament öffentlich angehört. Gepostet wurde das übrigens auf … Facebook.

Mein mit Abstand beliebtester Artikel ist ja der über das Snapchat-Update, das SEHR SEHR viele verärgert. In Auftrag gegeben wurde das übrigens vom Chef persönlich nach einem China-Aufenthalt.

Und zum Schluss: die Bundesregierung will ermöglichen, dass deutsche Bürger mit ständigem Aufenhalt im Ausland nun auch eine De-Mail-Adresse eröffnen können. Warte, DAS WAR BISHER NOCH NICHT MÖGLICH?!

Efail


[Breaking] Wie Sebastian Schinzel, Professor an der Fachhochschule Münster schreibt, sind momentan die Implementierungen zu den verbreiteten Verfahren PGP und S/MIME zur Verschlüsselung von E-Mails akut angreifbar. Siehe Tweet:

Auch die EFF warnt nun und rät, bis auf Weiteres die Verschlüsselung zu deaktivieren und andere Kanäle zu nutzen. Weitere Informationen sollen morgen folgen.

[Update 13:28 Uhr] BSI-Pressemitteilung zur Thematik

[Update 13:29 Uhr] Änderung im Text: die Implementierungen sind angreifbar, die Verfahren selbst sollen nach aktuellem Stand noch sicher sein

[Update 13:46 Uhr] Artikel von Netzpolitik.org. Es geht scheinbar in erster Linie um aktive Inhalte. EFail.de ist eine Übersichtssetie zur Thematik. Hier befindet sich das dazugehörige Paper.

[Update 13:50 Uhr] Zusammengefasst:

In a nutshell, EFAIL abuses active content of HTML emails, for example externally loaded images or styles, to exfiltrate plaintext through requested URLs.

– https://efail.de/

[Update 13:56 Uhr] Empfehlenswert im Paper ist Seite 11, Table 4. Hier ist aufgelistet, bei welchen Clients akuter Handlungsbedarf herrscht. Mozilla Thunderbird soll demnach sehr angreifbar sein (S/MIME und alle PGP-Varianten), Evolution nur bei S/MIME und der Kommandozeilenclient Mutt – oh Wunder – gar nicht (der weiß mE nicht Mal, wie er ein Bild aufrufen kann, aber das rettet ihn scheinbar). Roundcube-Admins aufgepasst: hier muss auch gehandelt werden.

Wochenrückblick KW 19/2018

Eine weitere Woche ist um. Da ich momentan viel an PictureNotes bzw. dessen neuer Android-App CapriPix arbeite, hier “nur” fünf interessante Artikel/Seiten aus dieser Woche:

  • In den letzten Tagen fand die alljährliche Google-Entwicklerkonferenze I/O statt. Der Assistant kann mittlerweile alleine telefonieren und Linux kommt auf die Chromebooks.
  • K9 Mail nutzt scheinbar noch TLS 1.0. Das ist echt schade, da K9 aus meiner Sicht einer der wenigen leistungsfähigen Android-E-Mail-Clients auf Open Source-Basis ist. Die längst überfällige Umstellung auf Material Design hängt scheinbar immer noch in der Schleife und solche sicherheitsrelevanten Mängel sind echt … ärgerlich.
  • Nutzt wer MediaWiki? Für größere Wikis setze ich es teils selber ein, da im Gegensatz zum sonst sehr guten DokuWiki z.B. Templating sehr einfach ermöglicht wird. Deutlich schwieriger sind jedoch Modifikationen außerhalb des Contents, da dort meist auf Configfiles zurückgegriffen werden muss. Seeseekey zeigt, wie man bspw. den Footer verändern kann.
  • Mozilla Firefox 60 ist da. Sören Hentzschel erklärt in gewohnt sehr hoher Qualität die Veränderungen des Releases.
  • Das Thema DSGVO wird uns noch die nächsten Wochen etwas beschäftigen. Wer momentan beim Umstellen bzw. Anpassen ist, findet in diesem GitHub Awesome eine ganz nette Checklist als roten Faden.

CapriPix veröffentlicht (DE/EN)

English version below

Es ist bereits einige Zeit her, seit dem ich das PictureNotes-Projekt angekündigt habe. Viele Monate wurden Konzepte ausprobiert, getestet und die Funktionalität ausgebaut. Dabei wurde neben einem zeitgemäßen Design auch auf Benutzerfreundlichkeit (UX) gesetzt. Deswegen freue mich sehr, nun mit der Version 0.7.1 den ersten öffentlichen Release der Android-App vorzustellen! Aber warum CapriPix? „CapriPix veröffentlicht (DE/EN)“ weiterlesen

URL-Shortener Atajlio

Vor gut einem Monat hat Google angekündigt, seinen hauseigenen URL-Shortener goo.gl einzustellen. Schade, denn ich habe den Dienst sehr gerne genutzt, um z.B. Artikel auf Twitter zu verteilen. URL-Shortener ermöglichen es, aus einer langen URL eine kurze zu erstellen, welche dann auf die ursprüngliche weiterleitet. „URL-Shortener Atajlio“ weiterlesen

Wochenrückblick KW 17/2018

Für diesen Wochenrückblick haben sich wieder so viele Nachrichten angesammelt, dass ich zur Übersichtlichkeit versuche, meine Kommentare so kurz wie möglich zu halten. Los geht’s!

IT-Welt und Softwareupdates

Diese Woche wurde nicht nur ein Gnome-Speicherleck geschlossen, sondern auch mit MySQL 8 eine neue Version des bekannten und weit verbreiteten relationalen Datenbankmanagementsystems veröffentlicht. „Wochenrückblick KW 17/2018“ weiterlesen

Wochenrückblick KW 16/2018

Eine Woche voller Nachricht ist hinter uns. Was ist alles so passiert?

Eine gute Nachricht für alle Nutzer von Ad-Blockern: der Bundesgerichtshof hat diese Woche entschieden, dass das als Whitelisting bezeichnete Geschäftsmodell der Firma EYEO nicht wettbewerbswidrig ist und hob somit eine vorinstanzliche Entscheidung des OLG Köln auf. „Wochenrückblick KW 16/2018“ weiterlesen

Wochenrückblick KW 15/2018

Was diese Woche unter anderem los war:

  • es gab viele Nachrichten (u.a. bei SPON 1 und 2) zu Volkswagen und anstehenden Umstrukturierungen im Konzern
  • es gibt neues zu Fuchsia, Googles neuem Betriebssystem, das im Gegensatz zu Android nicht direkt auf Linux mehr setzt
  • Heise hat einen Einführungsartikel zu WebAssembly veröffentlicht. WebAssembly ist eine Ergänzung zu JavaScript, mit der sich im Browser bytecodekompilierte C/C#-Programme ausführen lassen sollen. Angesichts der Möglichkeiten heutiger und zukünftiger Web-Apps unglaublich interessant!
  • Michael Kofler erklärt, wie sich nerviger Ärger mit APT und nicht funktionierendem IPv6 gänzlich umgehen lässt
  • Die EU-Kommission will Sammelklagen ermöglichen
  • Zur Ortung werden ja meist Systeme wie GPS eingesetzt. Nur funktionieren die unter Wasser eher “suboptimal”. Forscher haben nun eine alternative Möglichkeit zur Ortung in diesem Fall gefunden.
  • Zu guter Letzt ein ganz interessanter Artikel: es zählen bei wissenschaftlichen Präsentationen als doch nicht nur Fakten, sondern auch … der Ton!

Einen guten Start in die neue Woche!

Pythontutor

Kleiner Tipp für alle, die Algorithmen in Python debuggen möchten: der Pythontutor visualisiert wunderschön, wie eingegebene Algorithmen durchlaufen werden – Schritt für Schritt.

Einfach hier den Sourcecode eingeben, “Visualize Execution” anwählen und schrittweise anschauen, wie dieser bis zum Ergebnis durchlaufen wird.

Besonders gut eignet sich aus meiner Sicht das Tool, wenn man komplexe Algorithmen mit z.B. Rekursion analysieren will. Zum Beispiel eine mögliche Implementierung für die Fibonacci-Zahlen.

Der Sourcecode ist auf GitHub verfügbar.