RSS Atom Füge einen neuen Beitrag hinzu. Titel:
jetzt auch mit TLSA

Mal wieder eine Meldung aus dem Maschinenraum :-)

DANE wird den wenigsten etwas sagen und noch weniger von euch werden es überhaupt bemerken.

Warum will man es dann, wenn es so gut wie unsichtbar ist?

Im Grunde geht es um eines der Urprobleme (aber auch Vorteile) des Internets, niemand weiss, daß Du ein Hund bist.. Damit ich nun also bei Amazon beruhigt einkaufen kann, muss es einen Weg geben, daß Amazon beweisen kann, Amazon zu sein. Hierzu gibt es das berühmte Schloss in der Adressleiste. Der Browser zeigt dieses Schloss, wenn er den Ausweis von Amazon gegen seine mitgelieferten Rootzertifikate prüfen kann. Das Unschöne ist, es werden eine ganze Menge seltsamer Rootzertifkate mitgeliefert. Das "China Internet Network Information Center" oder auch die "Deutsche Telekoma AG" könnten ein Zertifikat für Amazon.de ausstellen und euer Browser würde glauben das wäre das richtige Amazon.

Es gibt aber auch einen anderen Weg, das erwähnte DANE.

DANE nutzt DNSSEC um einen neuen Eintrag mit DNS abzusichern. Dieser TLSA-Eintrag enthält dann die Prüfsumme des jeweiligen Zertifikates. Da das dort hinterlegte Zertifikat auch ein selbstsigniertes sein kann, könnte man sich hier sogar noch die Kosten für die Signierung bei Versign und Co sparen. Könnte ... Leider hinken die Browserhersteller mal wieder her, als Beispiel möge dieser Eintrag bei Mozilla dienen. Der Eintrag ist geschlagene drei Jahre alt :-(

Die Lösung ist in dem Fall das Plugin von https://www.dnssec-validator.cz/. Es zeigt sehr schön an, ob die Seite über DNSSEC aufgelöst wird (erschreckend wenig Sites) und ob sie gar einen TLSA Eintrag hat (noch weniger)

Mit DANE kann man nicht nur Webseiten absichern, sondern natürlich auch Verbindungen z.B. zwischen Mailservern oder Jabber-Servern. Da ist die Unterstützung auch deutlich besser was die Software betrifft.

Wenn ihr also etwas mit SSL-Zertifikaten, DNS, Mail .. zu tun habt, hier der Aufruf: beschäftigt Euch mit DNSSEC und DANE, aber vor allem mit DNSSEC. Schreibt es in Anforderungen und fordert es von Euren Lieferanten/Fachabteilungen.

mal wieder was Neues

Ein paar Dinge haben sich geändert hier im Blog.

  • die Suche wurde aktiviert
  • Kommentare sollten tun
  • Umlaute auf der Events-Seite sind kaputt grummel
HotSpot im ICE - Teil 2

Im Augenblick bin ich im ICE 578 nach Hamburg unterwegs und kann der Hotpsot-Erfahrung vom letzten Mal ein Kapitel hinzufügen.

Die gute Nachricht: Das WLan Telekom_ICE war in guter Stärke sichtbar. Die schlechte Nachricht: Es wird keine IP Adresse zugeteilt Auch doof, der Zugbegleiter kann leider nichts machen.

Wenigstens tut auf dem Handy ab und zu Twitter. Also kurz die @DB_Bahn angeschrieben ob sie hier helfen können. Von dort kam die Bitte, sich am @Telekom_hilft zu wenden. Stellt sich heraus, Telekom hilft nicht. Ich wurde gebeten, den HotSpot-Service anzurufen. Nun ist telefonieren aus eine ICE auch eher eine doofe Idee. Mit 200 hm/h und vielen Tunneln kann man das schlicht vergessen.

Über Twitterumwege erhielt ich dann die EMailadresse hotspotservice@t-mobile.de und harre nun einer Antwort.

Zwischenfazit: * Offensichtlich werden so triviale Sachen wie der DHCP Server nicht gemonitort * Die Supportwege sind wie immer ein Glücksspiel. Speziell wenn man kein Kunde ist * Tethering mit GPRS ist schmerzhaft.

Schmerzen mit Windows

Vor Jahren habe ich meiner Mutter mein altes Notebook gegeben. Da auf diesem noch Windows XP lief, war es Zeit nach einem Nachfolger zu schauen.

Die alte Kiste für Windows 7 fit zu machen, war zu aufwendig. Für meine alten iMac gibt es schlicht keine passenden Treiber.

Also musste etwas neues her. Mit Win7 bekommt man eigentlich nichts mehr bei den üblichen Verdächtigen, also wurde es ein günstiges Notebook mit Win8.1.

Ich durfte dann mit Erstaunen feststellen, daß Microsoft noch immer nicht die Updates im Griff hat. Suchen, Warten, Installieren, Rebooten, noch mal Suchen, mehr Warten und Installieren und noch mehr Reboots und Updates. Was für ein ätzender Mist. Win8.1 war wider erwarten gar nicht so schlimm, ich habe kaum geflucht bis manche Einstellungen gefunden waren.

Wirklich sauer/entsetzt war ich dann aber als ich den alten XP Rechner gegen den neuen getauscht habe. Es tat alles auf Anhieb aus der Drucker.

Der Drucker, ein total hochkompliziertes Zubehörteil zu Computern, wenn man Gutenberg dazunimmt gibts die sogar schon länger als Computer selbst. Und dieses hochkomplzierte Gerät macht Probleme im Zusammenhang mit Win8.1?

Ja, tut es.

Der Vorgang ein Bild zu nehmen, in helle/dunkle Punkte umzuwandeln und das zu Papier zu bringen ist ein Problem.

Da meine Mutter nicht viel druckt, habe ich ihr irgendwann mal einen kleinen Laserdrucker hingestellt, einen HP Laserjet 1010. Da trocknet dann auch schon keine Tinte ein.

Also Drucker an den USB angestöpselt und gewartet, aber es tat sich nichts.

Etwas googlen brachte dann diese Seite von Microsoft: Not compatible Visit the device manufacturer's website

Die Webseite von HP liefert aber nur Treiber bis Windows Vista?!

Noch mehr googlen liefert dann das übliche Windowsgemurkse, starten sie Regedit.exe

Man muss nur einen 32-bit-DWORD-Eintrag mit den Namen "KMPrintersAreBlocked" (kein copy&paste) unter HKEY_LOCAL-MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print mit dem Wert "0" anlegen. Rebooten und dann kann der Vista-Treiber installiert werden.

Bei dem Teilnamen "Windows NT" musste ich dann kurz hart lachen, diese Scheisse gibt es also noch immer unter der Haube des auch so neuen Windows.

Was für eine Farce

org-mode - ein erster Eindruck

Um es kurz zu machen, org-mode und emaxs sind Funktionsmonster und damit das komplette Gegenteil von vi.

Wer einen Eindruck bekommen möchte, der schaue sich mal Your Life In Plain Text an. Mal so neben bei UML Diagramme zu erzeugen oder ne kleine Tabellenkalkulation zu haben ist für einen Editor schon beeindruckend/beängstigend.

Das ist auch ein wenig die Gefahr mit diesem Berg an funktionen, man wird zum ständigen frickeln verleitet. Bis da meine endgültige Config steht wird wohl noch ein wenig Zeit vergehen.

Der Hauptschmerz ist im Augenblick allerdings ein anderer, wie bekomme ich über zig Betriebssysteme hinweg sauber die Tastaturbelegung konfiguriert. Sei es iTerm auf OSX, SecureCRT auf Windows oder Linux mit i3. Wenigstens sind die Daten alle plain Text und fühlen sich somit im git pudelwohl.

Aufgabenverwaltung

Ich weiss nicht wie viele Aufgabenverwaltungen ich schon benutzt habe. Auf dem Amiga war es Maxon Twist, danach auf dem PC dann Outlook im Zusammenspiel mit dem Palm. Auf dem Mac/iPhone gabe es irgendwie lange keine richtig native Applikation was mich immer wieder wundert. Auf dem Palm wurde die vorhandene Aufgaben Applikation von vielen Programmen als Backend verwendet. Ein Highlight war dort neben DateBK das Programm Life Balance von Llamagraphics.

Unter Linux wurde mir dann die Sache zu bunt mit all den verschiedenen Datenformaten. Deswegen ging es hier zurück zur Textdatei. Erst mit todo.txt, dann zu Taskwarrior. Nachdem dort der Trend aber zu seltsamen sync-Servern geht, bin ich wieder bei todo.txt und git als sync-Mechanismus. Allerdings ist das auch eher rudimentär und man baut sich verschiedene Dinge selbst drumherum.

Was mir allerdings seit einiger Zeit immer wieder zuflüstert "probier mich aus" ist org mode. Als vim user muss ich an der Stelle immer wieder schlucken, den org mode ist ein Modus der anderen Religion, von emacs. Allerdings muss man hier anerkennen, dass emacs halt sehr viel mehr ist als ein Editor. Zwar gibt es auch ein Port von org mode für vim, aber das ist halt nur ein trauriger Abklatsch im Vergleich zu dem Funktionsmonster. Und so migriere ich gerade all meine Tasks und Projekte nach org mode und versuche nicht an den zig Tastenkombinationen zu verzweifeln. Ich hoffe da ein bisschen auf Neovim und dem irgendwann eingebauten Lua um das wieder in schlank und schnell zu haben :-)

HotSpot im ICE

Ich war zwei Tage in Köln auf einem Updatetraining meines Arbeitgebers zu Netzwerkthemen. Die Fahrt nach Köln habe ich quasi verschlafen, da der ICE in Stuttgart um 5:51 losfährt und das eher nicht meine Zeit ist. Zurück ging es abends und ich wollte im Zug noch ein wenig Mails lesen und im Internet surfen.

Internet im ICE ist mit dem Handy schwierig. Zum einen sind die Scheiben des ICEs bedampft und zum anderen ist O2 wohl entlang der ICE-Strecken noch schlechter ausgebaut als sonst.

Deswegen wollte ich mal den Hotspot-Service der Telekom im ICE testen.

Für nicht Telekom-Kunden gibt es verschiedene Pässe und die knapp 5 Eur wäre mir das Experiment wert gewesen.

Allein, ich bin nicht dazu gekommen das Geld auszugeben.

Die Verbindugng zum Webserver zur Buchung war dermassen mies und langsam, dass es fast ne Stunde gedauert hat bis ich überhaupt mal zum Bestellbutton kam. Der allerdings führte dann endgültig zu einem 503 Servererror, den ich schon vorher zig mal gesehen hatte.

So ist das definitiv nicht benutzbar, schade.

Dabei wäre ich echt mal neugierig gewesen wie sich der UMTS/LTE Uplink bei 300kmh schlägt.

Gut dass ich dank Git meine wichtigen Sachen offline dabei habe, z.B. dieses gesamte Blog :-)

ferm mit IPv4 und IPv6

ferm ist ein Tool um iptables-Regelwerke zu erzeugen. Es bietet hierzu eine einfache Programmiersprache und ist auf den von mir genutzten Linux-Distributionen als Paket verfügbar.

Ein etwas unschöner Punkt bei iptables ist die Trennung von IPv4 und IPv6, dafür gibt es iptables und ip6tables. Bei Bau von Regelwerken arbeitet man so quasi immer mit zwei getrennten Bereichen. ferm hilft hier indem man Variablen definiert und diesen sowohl IPv4 als auch IPv6 Adressen zuweisen kann. Ein einfaches Regelwerk für diesen Webserver sieht dann so aus

@def $WEB = (5.135.191.83 2001:41d0:8:c853::1);

domain (ip ip6) table filter {
        chain INPUT {
                policy DROP;

        # connection tracking
        mod state state INVALID DROP;
        mod state state (ESTABLISHED RELATED) ACCEPT;

        # allow local connections
        interface lo ACCEPT;

        # allow ICMP (for neighbor solicitation, like ARP for IPv4)
        proto ipv6-icmp ACCEPT;
        proto icmp ACCEPT;


        # web
        daddr @ipfilter($WEB) proto tcp dport (80 443) ACCEPT;

        LOG log-level info log-prefix "FWRULE REJECT ";
        REJECT;

        }

        chain OUTPUT {
        policy ACCEPT;
        }

        chain FORWARD {
        policy DROP;
        }
}

Aus der Zeile "daddr @ipfilter($WEB) proto tcp dport (80 443) ACCEPT;" werden dann vier Regeln

ACCEPT     tcp      ::/0                 2001:41d0:8:c853::1  tcp dpt:80
ACCEPT     tcp      ::/0                 2001:41d0:8:c853::1  tcp dpt:443
ACCEPT     tcp  --  0.0.0.0/0            5.135.191.83         tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            5.135.191.83         tcp dpt:443

Sollte sich dann die IP des Webservers ändern oder weitere dazukommen muss nur die Variable angepasst werden.

This blog is powered by ikiwiki.