Efail


[Breaking] Wie Sebastian Schinzel, Professor an der Fachhochschule Münster schreibt, sind momentan die Implementierungen zu den verbreiteten Verfahren PGP und S/MIME zur Verschlüsselung von E-Mails akut angreifbar. Siehe Tweet:

Auch die EFF warnt nun und rät, bis auf Weiteres die Verschlüsselung zu deaktivieren und andere Kanäle zu nutzen. Weitere Informationen sollen morgen folgen.

[Update 13:28 Uhr] BSI-Pressemitteilung zur Thematik

[Update 13:29 Uhr] Änderung im Text: die Implementierungen sind angreifbar, die Verfahren selbst sollen nach aktuellem Stand noch sicher sein

[Update 13:46 Uhr] Artikel von Netzpolitik.org. Es geht scheinbar in erster Linie um aktive Inhalte. EFail.de ist eine Übersichtssetie zur Thematik. Hier befindet sich das dazugehörige Paper.

[Update 13:50 Uhr] Zusammengefasst:

In a nutshell, EFAIL abuses active content of HTML emails, for example externally loaded images or styles, to exfiltrate plaintext through requested URLs.

– https://efail.de/

[Update 13:56 Uhr] Empfehlenswert im Paper ist Seite 11, Table 4. Hier ist aufgelistet, bei welchen Clients akuter Handlungsbedarf herrscht. Mozilla Thunderbird soll demnach sehr angreifbar sein (S/MIME und alle PGP-Varianten), Evolution nur bei S/MIME und der Kommandozeilenclient Mutt – oh Wunder – gar nicht (der weiß mE nicht Mal, wie er ein Bild aufrufen kann, aber das rettet ihn scheinbar). Roundcube-Admins aufgepasst: hier muss auch gehandelt werden.

URL-Shortener Atajlio

Vor gut einem Monat hat Google angekündigt, seinen hauseigenen URL-Shortener goo.gl einzustellen. Schade, denn ich habe den Dienst sehr gerne genutzt, um z.B. Artikel auf Twitter zu verteilen. URL-Shortener ermöglichen es, aus einer langen URL eine kurze zu erstellen, welche dann auf die ursprüngliche weiterleitet. „URL-Shortener Atajlio“ weiterlesen

Pythontutor

Kleiner Tipp für alle, die Algorithmen in Python debuggen möchten: der Pythontutor visualisiert wunderschön, wie eingegebene Algorithmen durchlaufen werden – Schritt für Schritt.

Einfach hier den Sourcecode eingeben, “Visualize Execution” anwählen und schrittweise anschauen, wie dieser bis zum Ergebnis durchlaufen wird.

Besonders gut eignet sich aus meiner Sicht das Tool, wenn man komplexe Algorithmen mit z.B. Rekursion analysieren will. Zum Beispiel eine mögliche Implementierung für die Fibonacci-Zahlen.

Der Sourcecode ist auf GitHub verfügbar.

vim: read-only Dateien mit root-Rechten speichern

Linux-Admins werden es kennen: arbeitet man viel mit Konfigurationsdateien des Systems oder verschiedener Daemons, kann es passieren, dass man vergisst, sie als root-Benutzer zu öffnen.

Das ist ärgerlich, man muss die Änderungen kopieren, den Editor verlassen (vim: :q! ), ihn wieder mit u.U. sudo (shortcut hierfür: sudo !! zum aufrufen des letzten Kommandos mit root-Rechten) öffnen, Änderungen einfügen und neu abspeichern. Noch ärgerlicher ist es, wenn die Datei nicht bearbeitet, sondern erstellt werden soll und relativ umfangreich ist.

vim-Nutzer sind hier im Vorteil: der Editor ist so flexibel, dass man eine read-only-geöffnete Datei als root speichern kann.

Voraussetzung hierfür ist, dass sudo auf dem System installiert ist und der Nutzer die Berechtigungen hat, hiermit Kommandos auszuführen.

Nun zum Trick:

Die Zauberei hinter diesem Trick ist, dass vim “pipen” kann, denn anders als oft angenommen, ist :w nicht ausschließlich für das Speichern der Datei zuständig, sondern sendet eher den current buffer in die aktuelle Datei, eine andere Datei oder gar in ein anderes Kommando. Und dieses Kommando lässt sich eben auch per sudo ausführen. tee übrigens lässt sich wie ein T-Stück verstehen. Alle Hintergründe hierzu sind bei Stackoverflow erklärt.

Wochenrückblick KW 12/2018

Abwechslung tut gut und deswegen dreht sich diese Ausgabe des Wochenrückblicks schwerpunktmäßig wieder um Open Source Software. Für alle, die sich schon in den letzten Wochen gewundert haben: der Wochenrückblick hat zwischenzeitlich die Themenfelder erweitert und passt als solches nicht immer in den Ubuntuusers.de Planeten oder das OSBN. Wenn es sich allerdings (thematisch) anbietet, versuche ich auch in Zukunft einige Ausgaben extra für die OSS-Blognetze zu schreiben. „Wochenrückblick KW 12/2018“ weiterlesen

Let’s Encrypt: Wildcard-Zertifikate verfügbar

Endlich ist es geschafft: nach etlichen Verzögerungen ist sind die angekündigten Wildcard-Zertifikate, die auch für alle Subdomains einer Domain gültig sind, endlich verfügbar. Dies teilte gestern Josh Aas, ISRG Executive Director, im Forum mit.

Zur Überprüfung und Ausstellung des Zertifikats ist momentan nur die DNS domain validation möglich. Als empfohlener Client für die ACME v2-API, die nun die Wildcard-Option mitbringt, wird weiterhin certbot empfohlen.

Warum die Uhren nachgehen

Klingelte heute der Wecker zu spät? Seit einigen Tagen kursiert durch die Nachrichten ein ganz interessantes Thema, das ich heute etwas aufgreifen möchte: die Uhren gehen falsch. Und das nicht, weil in gut zwei Wochen am 25. März 2018 die Sommerzeit beginnt, sondern weil im Stromsystem momentan ein Energiemangel vorliegt. „Warum die Uhren nachgehen“ weiterlesen

Wochenrückblick KW 9/2018

Diesel-Verkehrsverbote ausnahmsweise möglich

Der Diesel war schon letzte Woche Thema. Wir erinnern uns: die Entscheidung, ob in den Städten Düsseldorf und Stuttgart aufgrund der Feinstaubbelastungen Fahrverbote für bestimmte Fahrzeuge erlaubt sein dürfen, wurde auf Dienstag vertagt.

Die Entscheidung fiel eindeutig: die Verbote seien überwiegend rechtmäßig. Im Beispiel Stuttgart:

Der Beklagte habe ein ganzjähriges Verkehrsverbot für alle Kraftfahrzeuge mit Dieselmotoren unterhalb der Schadstoffklasse Euro 6 sowie für alle Kraftfahrzeuge mit Ottomotoren unterhalb der Schadstoffklasse Euro 3 in der Umweltzone Stuttgart in Betracht zu ziehen.

– Pressemitteilung BVerwG

Wow, das haut rein. Hätte ich so nicht gedacht. Für Verbote von Euro 5-Fahrzeugen gibt es außerdem eine Übergangsregelung: bis zum 01.09.2019 läuft die “Schonfrist”. Dabei soll – wie ziemlich oft in diesem Urteil erwähnt – die Verhältnismäßigkeit bedacht werden.

Hierzu übrigens passend: Euro 6 ist nicht gleich Euro 6. Dementsprechend kann es sein, dass auch ältere Euro 6-Diesel von den Fahrverboten betroffen sein könnten. Ich will gar nicht wissen, wie viele von diesen Verboten betroffen sind und wie groß die Vorbildwirkung für andere Städte ist.

Hacker!

Muss ich auch gar nicht, denn das Dieselthema wurde schnell von anderen Nachrichten überschattet: ein Teil des Regierungsnetzes wurde gehackt. Déjà-Vu? Nein, noch schlimmer.

Gutenberg

Zum Schluss noch eine Sache, die ich schade finde. Gutenberg.org sperrt alle deutschen Nutzer aus. Grund hierfür ist ein Rechtsstreit mit einem deutschen Verlag, der Urheberrechtsansprüche geltend macht. Knackpunkt war, dass in den USA, wo Gutenberg gehostet wird, andere Anforderungen an Public Domain herrschen als in Deutschland. Dadurch sind einige Bücher dort schon freigegeben, die hier noch geschützt sind.

Dass nun alle deutschen Nutzer auf einen Schlag ausgesperrt werden, ist ärgerlich. Ich hoffe, dass das zügig gelöst wird, da insbesondere für ältere Bücher Gutenberg aus meiner Sicht eine gute Quelle war.

Let’s Encrypt Wildcard-Zertifikate verspäten sich

Kurz notiert: Anfang des Jahres schrieb ich, dass Ende Februar 2018 die Wildcard-Zertifikate, also Zertifikate für z.B. *.v-gar.de, öffentlich für alle Let’s Encrypt-Nutzer zur Verfügung stehen sollten. General Availability sollte eigentlich am 27. Februar 2018. Heute haben wir den 02. März.

Ja, das ganze verspätet sich. ETA soll nun laut Homepage Q1 2018 sein. Im Forum gibt es bereits einen entsprechenden Thread. Ein wichtiger Grund für die Verspätung seien hiernach die jüngsten Probleme mit TLS-SNI (siehe Wochenrückblick KW 2).

Wir können gespannt bleiben. Vorfreude ist ja bekanntlich die schönste Freude. 😉 Trotzdem natürlich ärgerlich für alle, die mit dem ursprünglichen Datum bereits geplant haben.