Blog

Seitensicherheit

Manchmal hat meine Trägheit gewisse Vorteile. Noch bevor ich mich um das untere Zehntel meiner Todo-Liste kümmern kann (117. Let's Encrypt-Zertifikat beantragen), reagiert mein Provider auf die neue Konkurrenz und ergänzt meinen Vertrag ohne zusätzliche Kosten um ein GeoTrust QuickSSL Premium-Zertifikat, das regulär für 149 Euro angeboten wird.

Die Installation des Zertifikates und die Optimierung der nginx-Konfiguration gestalten sich relativ einfach (nginx.conf):

server { listen 80; server_name janeden.net return 301 https://eden.one$request_uri; } server { listen 443 ssl http2; server_name eden.one; ssl on; ssl_certificate /etc/ssl/certs/eden.one_public.cer; ssl_certificate_key /etc/ssl/certs/eden.one_private.key; [...] }

wobei die empfohlene Zusammenführung von primären und intermediärem Zertifikat (cat intermediate.cer >> primary.cer) wegen eines fehlenden Zeilenumbruchs zu einem nicht wohlgeformten Zertifikat führt. Sogar HTTP/2 lässt sich trotz der fehlenden ALPN-Unterstützung meines nginx aktivieren (dank AltSvc-Header). So fühlen sich wahrscheinlich andere Herren meines Alters nach dem Erwerb eines sportlichen Automobils mit versenkbarem Verdeck.

Entsprechend selbstbewusst prüfe ich meine Website mit Mozillas Observatorium, und das Ergebnis ist niederschmetternd: Wegen der fehlenden HTTP-Header Content Security Policy, HTTP Strict Transport Security, X-Content-Type-Options, X-Frame-Options und X-XSS-Protection sowie der mangelnden Subresource Integrity erhalte ich 0/100 Punkten (F!).

Das schmerzt ein wenig. Tatsächlich ist der Abstand zwischen dem bisherigen Zustand und der Bestnote minimal (nginx.conf):

add_header Content-Security-Policy "default-src https:; frame-ancestors 'none'"; add_header Strict-Transport-Security "max-age=31536000"; add_header X-XSS-Protection "1; mode=block"; add_header X-Content-Type-Options "nosniff";

Statt mich um die Integrität der Subressourcen zu kümmern, werfe ich sämtlichen Google-Code aus meinem Template und werde mit 110/100 Punkten (A+) belohnt. Die Bonuspunkte erhalte ich für die konsequente Unterdrückung von Inline-Skripten (Content Security Policy (CSP) implemented without 'unsafe-inline' or 'unsafe-eval') und die moderne Implementierung der Unrahmbarkeit (X-Frame-Options (XFO) implemented via the CSP frame-ancestors directive).

Es ist nur eine Frage der Zeit, bis mich junge Frauen auf der Straße bewundernd auf meine schnittige Website ansprechen.

Urlaubspost

Inbox Zero ist immer ein kleiner Triumph, aber wenn das Postfach anschließend stundenlang leer bleibt, fühlt man sich rasch ungeliebt. Liegt es an der Urlaubszeit? Den kurz angebundenen letzten Antworten (→ Inbox Zero!)? Not so fast:

tail /var/log/maillog Jul 29 01:52:25 abcdefg postfix/master[15324]: fatal: bind 0.0.0.0 port 25: Address already in use netstat -lnp | grep :25

sendmail hält den Port nach einem automatischen Server-Neustart besetzt und demonstriert selbstbewusst seine Position innerhalb einer CentOS-Standardkonfiguration. Nach einer beherzten Notfallmaßnahme –

service sendmail stop service postfix start postfix flush

– wird der ehrwürdige MTA dauerhaft zu Gunsten eines Emporkömmlings herabgestuft:

chkconfig --del sendmail chkconfig --add postfix

Die Zeiten sind nicht nur für republikanischen Präsidentschaftskandidat*innenanwärter_innen hart.

Easy Listening

It is particularly indicated for the secretary to form a committee, including a considerable number of employees from noted universities, relatively few administrative attorneys and and approximately five chairmen.

Wenn man der Auswertung eines ehemaligen Physikers Glauben schenkt, ist dieser Satz nicht nur etwas seltsam, sondern vor allem unmetallisch.

Musikkonfusion

In der Vergangenheit setzte Apple im Musikbereich auf klassisches DRM, mittlerweile scheint sich der Konzern auf Nutzerverwirrung und die angetäuschte Löschung von Musikdateien verlegt zu haben, um Nutzerinnen im Zaum zu halten. Selbst auf eine unübersichtliche Situation kann man sich nicht verlassen: Kaum habe ich den Unterschied zwischen acoustic fingerprinting (iTunes Match) und tag-based matching (Apple Music) verstanden, wird der akustische Fingerabdruck auch für Apple Music eingeführt.

Volksnah

Es ist ja immer sympathisch, wenn Organe des Staates die alltäglichen Sorgen der Bürgerinnen und Bürger teilen. Dass das Bundesverkehrsministerium jahrelang mit einer längst gepatchten Sicherheitslücke kokettiert, zeugt allerdings von wenig Engagement. Wirklich volksnahe Einrichtungen lassen ihre Arbeitsplatzrechner verschlüsseln oder den eigenen Amtsleiter zur Fahndung ausschreiben.

Solitude

Den vierundvierzigsten Präsidenten der Vereinigten Staaten von Amerika kann man für verschiedene Fähigkeiten bewundern. Besonders beeindruckend finde ich seine Fähigkeit zur Abgrenzung:

There, his closest aides say, he spends four or five hours largely by himself.

Desinformiert

Einige Wahlberechtigte im Vereinigten Königreich scheinen sich erst nach ihrer Stimmabgabe mit dem Anlass des Referendums befasst zu haben:

And as the day wore on, the enormity of that step started to sink in: the markets, Sterling, Scotland, the Irish border, the Gibraltar border, the frontier at Calais, the need to continue compliance with all EU regulations for a free market, re-issuing passports, Brits abroad, EU citizens in Britain, the mountain of legistlation to be torn up and rewritten ... the list grew and grew.

S/MIME ohne Schrecken

Nachdem sich die Handhabung eines S/MIME-Zertifikates mit GnuPG vor einigen Jahren als etwas kompliziert erwiesen hatte, nahm ich den Hinweis meines Rechenzentrums auf das Auslaufen meines Nutzerzertifikates etwas unwillig zur Kenntnis. Unnötigerweise: Safari und Keychain arbeiten reibungslos zusammen, und das exportierte Zertifikat (.p12) wird anstandslos von gpgsm übernommen:

gpgsm --import cert_new.p12

In .muttrc muss ich ledlich den Wert des smime_default_key auf die ID des neuen Zertifikates ändern (einsehbar mit gpgsm --list-keys) und schon habe ich für drei Jahre Ruhe.

Ping, Ping, Ping, Ping, Ping

Mein Server-Monitoring ist etwas überspannt:

Die folgenden überwachten Dienste Ihres Servers für die IP-Adresse XXX.XXX.XXX.XXX sind ab sofort wieder verfügbar:

Ping, Ping, Ping, Ping, Ping

Die folgenden überwachten Dienste Ihres Servers für die IP-Adresse XXX.XXX.XXX.XXX sind derzeit nicht verfügbar:

Ping, Ping, Ping, Ping, Ping

YYYY-MM-DD

Im Techniktagebuch fasst Alan Smithee die Vorteile von ISO 8601 präzise zusammen. Leider werden sich die Bewohnerinnen der Überseegebiete auf absehbare Zeit nicht von europäischen Argumenten beeinflussen lassen.

Kameralichtfernsteuerung

Die Eröffnung eines modernen smartphoneorientierten Kontos ist mit einem etwas unheimlichen Moment verbunden. Viel ärgerlicher ist aber, dass die Number26-Kreditkarte Transaktionen über mehr als 50 Euro immer erst im dritten Anlauf autorisiert.

Editierbare Aufgabenlistenvorschau

Nachdem ich mich monatelang über die unzureichende TaskPaper-Implementierung von Editorial geärgert habe (Aufgaben werden nur dann als erledigt markiert, wenn man den Erledigungskasten exakt trifft, andernfalls taucht die Software-Tastatur auf und der Cursor landet neben dem Erledigungskasten), hat mich Signor Viticci freundlicherweise auf 1Writer aufmerksam gemacht, das Erledigungen im Preview-Modus zulässt und bereits für iOS 9 aktualisiert wurde.

YoLD

John Moltz:

Every year I try Ubuntu and every time I find it an excessively fiddly environment that gives you all the tasteless design choices of Windows with all the confusion of why your sound card isn’t working that you got installing your own Sound Blaster in 1995. I’ve also tried other Linux distributions that look promising but aren’t all there yet. So I don’t feel like I’m being unreasonable. (Well, for me.)

Dann eben 2017. Ganz sicher.

Dauerhaft unprofitabel

Der Vorstandsvorsitzende der Deutschen Telekom möchte nicht nur das profitable Geschäftsmodell Roaming auf die ohnehin schon gut verdienenden Internetkonzerne übertragen, sondern auch ein bedingungsloses Grundeinkommen durch die Besteuerung dieser Konzerne finanzieren. Geschickter kann man eine Mitteilung nach §15 WpHG kaum formulieren.

Fairness

Zwar hat sich Perl 6 ein wenig verspätet, aber Python 3 nimmt große Rücksicht auf die Startschwierigkeiten der Mitbewerberin.