Blog

Ernstfall 2

Die Entscheidung für eine radikale Vereinfachung meines Webstacks erweist sich bereits nach zehn Monaten als weitsichtig: Das Betriebssystem des seit 2013 unbeirrt laufenden virtuellen Servers (CentOS 6) hat sein Verfallsdatum deutlich überschritten, und auch mein Provider rät immer dringlicher zu einem neuen Vertrag.

Mit dem Umzug auf einen neuen vServer erhalte ich ein relativ aktuelles Betriebssystem (Ubuntu 20.04) und zeitgemäße SSH-Schlüssel (ssh-keygen -t ecdsa -b 521). Die Konfiguration von SSH, nginx, serversync und Postfix ist in wenigen Minuten erledigt, wie auch die Übertragung der Website (mit rbackup) und des SSL-Zertifikates für eden.one, die Einrichtung der Port-Freigaben und des Server-Monitorings.

Etwas aufwendiger ist die Übernahme der Domains: Von IONOS verwaltete Domains lassen sich zwischen zwei Verträgen übertragen, verlieren dabei aber alle bisher genutzten Postfächer. Ich migriere die Postfächer zu einem neutralen Mail-Provider und passe nur die Weiterleitungen (via Postfix) an. Externe Domains müssen gelöscht und neu angelegt werden, was mit einer Downtime von einigen Stunden einhergeht. Der freundliche IONOS-Support weist mich allerdings darauf hin, dass ich die DNS-Einstellungen auch bei meinem Domain-Provider vornehmen könne. Bei dieser Gelegenheit aktiviere ich DNSSEC und den Domain Guard (kostenlos bei Pair Domains, schamlose 1,25 Euro/Monat bei IONOS).

TTL < 2h. Zu allem Überfluss ist das neue System bei unveränderter PageSpeed-Bewertung (100/100) auch noch etwas schneller (durchschnittlich 159,85ms für ab -n100 -c10 https://eden.one/).

Herdenfrei

Obwohl ich Google-Code (Google Analytics und Google Adsense) bereits vor längerer Zeit von dieser Website entfernt habe, könnte sie die Bildung von FLoC-Kohorten unterstützen. Soll sie aber nicht:

server { location / { add_header Permissions-Policy interest-cohort=(); ... } }

Unwiderstehlich 4

Mehr als sechs Jahre ohne erfolgreichen Hack: LastPass setzt erneut Maßstäbe bei der IT-Sicherheit.

Länderfinanzausgleich

Kurz vor seiner wohlverdienten (und mutmaßlich umjubelten) Rückkehr nach Bayern bewerfen preußische Propagandapostillen Bundesverkehrminister Andreas Franz Scheuer mit Schmutz, obwohl er noch in den letzten Amtstagen zum Wohle des deutschen Volkes bzw. der Bevölkerung von Wegscheid wirkt:

Deutschlandpremiere bei Mobilfunkförderung! In Wegscheid wurde heute ein erster Standort für unser Förderprogramm festgelegt. Mit insgesamt 1,1 Milliarden Euro Bundesinvestition bringen wir flächendeckenden Mobilfunk nach ganz Deutschland wie hier nach Wegscheid.

Dass die Wahl nach dem sorgfältigen Markterkundungsverfahren der Mobilfunkinfrastrukturgesellschaft zufällig auf einen Standort in Scheuers Wahlkreis Passau fiel, ist nur für notorische Neiderinnen des erfolgreichen Politikers ein Grund zur Kritik, zumal Bundesminister Scheuer die kurzzeitig veröffentlichte Pressemitteilung bescheiden zurückgezogen und sogar verschwiegen hat, dass Wegscheid weitere 5.535.543 Euro im Rahmen der Breitbandförderung des Bundes erhält.

Angesichts dieser gut dokumentierten Leistungen zeigen sich CSU-Generalsekretär Blume (16 % der Deutschen sind Bayern, aber bayerische Minister: Fehlanzeige!) und die Junge Union Bayern (Kein einziger Bundesminister kommt aus Bayern. 13 Millionen Bürgerinnen und Bürger aus dem Freistaat haben damit keinen direkten Ansprechpartner in der Bundesregierung!) zu Recht empört über die Zusammensetzung der neuen Bundesregierung: Ohne das segensreiche Wirken bayerischer Bundesministerinnen könnte der Freistaat demnächst wieder auf traditionelle Transferleistungen angewiesen sein.

Mehr Planungsbeschleunigung wagen

Nach einigen Jahren in der Politik entgleitet Menschen mitunter das Gefühl dafür, welche Ziele nicht nur Vertreterinnen diverser Verbände, sondern die gesamte Bevölkerung begeistern und mitreißen können. Der ehemalige nordrhein-westfälische Ministerpräsident etwa stellte Planungsbeschleunigungspakete in den Mittelpunkt seiner nicht sehr erfolgreichen Kampagne.

Der voraussichtliche Merkel-Nachfolger Olaf Scholz dagegen hat seine Leidenschaft klug bis nach der Aushandlung eines Koalitionsvertrages gezügelt und erst im Rahmen eines SPD-Parteitages den Delegierten mit geballten Fäusten zugerufen:

Wir müssen die Planungs- und Genehmigungsverfahren beschleunigen, sonst wird es nichts mit dem Fortschritt.

Privilegiert

Im Gegensatz zu US-Präsidentschaftskandidatinnen (Poor kids are just as bright as white kids.) genießen ARD-Korrespondentinnen das Privileg, Wohlstand und Bildung mit weißer Hautfarbe zu assoziieren, ohne großes Aufsehen zu erregen – auch dank einer aufmerksamen Frühschicht in Hamburg. Marcus Schulers Bericht aus einer (ehemaligen) Impfskepsishochburg in Kalifornien –

Besonders Eltern mit hohem Bildungsgrad stemmten sich vor sechs Jahren dagegen, ihre Kinder gegen Masern, Polio oder Keuchhusten impfen zu lassen, erzählt Willis. Aber auch aus der schwarzen Community und bei den Latinos gab es Vorbehalte.

– wurde durch die hilfreiche Redaktion wenige Stunden nach der Erstveröffentlichung um den zweiten Satz gekürzt.

De-Mail 4

De-Mail ist nicht nur ein toter Gaul, sondern aus Sicht der Deutschen Telekom und des Bundesrechnungshofs ein viel zu teurer toter Gaul.

Zellenbreitfunk

Bereits 24 Jahre nach der Vorstellung von Cell Broadcast soll diese neue Technologie in Deutschland eingesetzt werden. Mit diesem Vorlauf und angesichts der erfolgreichen Nutzung in anderen Ländern können sich auch notorische Skeptikerinnen nicht über eine fehlende Langzeitfolgenabschätzung beklagen.

Zertifikatssammlung

Wie Markus Winninghoff bereits im Techniktagebuch dokumentiert hat, müssen Arbeitgeber*innen seit gestern den 3G-Status ihrer Mitarbeiter*innen kontrollieren und dokumentieren. In unserem Betrieb soll dazu für Geimpfte auch das Datum der Zweitimpfung erfasst werden, obwohl derzeit eine zeitliche Begrenzung des Impfstatus noch nicht rechtlich geregelt ist (technisch haben die Impfzertifikate eine Gültigkeit von einem Jahr).

Das Problem: Die vorbildlich datensparsame CovPassCheck-App zeigt nach dem Scan eines QR-Codes nur einen Namen, ein Geburtsdatum und die Gültigkeit des Zertifikats zum Zeitpunkte des Scans an. Wir müssten also alle Beschäftigte zusätzlich nach dem Impfdatum fragen. Die Lösung ist eine missbräuchliche Verwendung der Importfunktion der CovPass- und der Corona-Warn-App: Linus Neumann hatte im Logbuch Netzpolitik von befreundeten Gastronom*innen berichtet, die die beiden genannten Apps (statt der CovPassCheck-App) zur Zugangskontrolle verwendet und dadurch ungewollt die Impfzertifikate aller Gäste importiert hatten. Diese Interface-Schwäche mache ich mir zu Nutze, denn für importierte Zertifikate wird auch das Datum der Impfung (und der verwendete Impfstoff) angezeigt.

(Dieser Beitrag erschien auch im Techniktagebuch.)

Update: Einige Wochen später skandalisieren Kölner Stadt-Anzeiger und WDR (Kölner Barbesitzer deckt Sicherheitslücke der Corona-Warn-App auf) die Portabilität von Impfzertifikaten, rudern einige Stunden später zurück (Kölner Barbesitzer weist auf mangelhafte Kontrollen der Impfnachweise hin) und erläutern stellvertretend für die Kommunen die Pflicht zur Identitätsprüfung.

Konsequent flexibel

Die Marxistisch-Leninistische Partei Deutschlands nimmt für sich in Anspruch, politisch konsequent zu sein, was man als Kleinpartei auch durchaus sein kann. Um so überraschender ist das sprachlich inkonsequente Plakat:

Politik für Arbeiter*innen statt Milliardäre. Konsequent.

Ich moniere das natürlich, denn auch Susanne Klatten und Friede Springer haben einen Anspruch auf politische Aufmerksamkeit. Lange nach der Bundestagswahl und damit meiner Wahlentscheidung meldet sich die Partei zurück (aufgrund einer Fülle von Anfragen erst so spät). Sie referiert zunächst kurz ihr Profil (revolutionäre Arbeiterpartei, Marxismus-Leninismus und die Mao-Zedong-Ideen, gegen revisionistische Verfälschung, Schule des Klassenkampfs etc), um daraus abzuleiten, dass sich ihr Slogan offensichtlich auch gegen Milliardärinnen (und mutmaßlich nonbinäre Reiche) richte. Darüber hinaus sei für die Verwendung des Ausdrucks Milliardär*innen auf dem Plakat kein Platz gewesen.

Die Berufung auf das generische Maskulinum und auf gestalterische Sachzwänge führt die MLPD an die Seite ihrer konservativen und rechtsextremen Konkurrenz, während die Ansprache der Arbeiter*innen ganz im Sinne ihrer (unzureichend) linken Mitbewerber*innen sein dürfte. Könnte es sein, dass ausgerechnet die MLPD sich auf diesem Weg als kompromissbereite zentristische Partei positionieren möchte?

Ihre E-Mail an mich schließt sie jedenfalls mit einer versuchten Bedürfnisweckung (Abonnement der Roten Fahne, Buchwerbung), mutmaßlich um ihre Anschlussfähigkeit an das kapitalistische Schweinesystem zu illustrieren. Völker, hört die Signale.

Ausweislich

Vor sechs Jahren hat Marcus Schwarze im Techniktagebuch bereits die Nutzung der Online-Ausweisfunktion deutscher Personalausweise dokumentiert. Seitdem sollte sich einiges getan haben, und ich komme mit meinem neuen Personalausweis meiner Chronistenpflicht nach. Anders als 2015 kann statt eines Kartenlesegerätes ein NFC-fähiges Smartphone für die Kommunikation eines Notebooks mit dem Personalausweis verwendet werden, und es wird keine Java-Umgebung mehr benötigt. Es muss lediglich

Die gesamte Konfiguration wird in einem hilfreichen Videotutorial mit einer Laufzeit von knapp sechs Minuten erläutert, und die Kommunikation zwischen Ausweis, Smartphone und Notebook ist in drei von fünf Fällen erfolgreich.

Neben der selbstgewählten PIN (die im Personalausweisportal auch als Geheimnummer bezeichnet wird) gibt es noch eine PUK zur Aufhebung der PIN-Blockade (die laut PIN-Brief nur bei Bedarf freigerubbelt werden sollte) und ein Sperrkennwort – den vor sechs Jahren noch erforderlichen Berechtigungscode und die Kartenzugangsnummer gibt es nicht mehr.

Dafür ist das Diensteangebot erstaunlich konstant geblieben: Bundesweit kann man Informationen der Rentenversicherung und des Kraftfahrtbundesamtes als PDF-Dokumente herunterladen. Als Schwerbehinderte in Bayern, als De-Mail-Nutzerin, Kundin der Investitionsbank Berlin und der LVM-Versicherung oder als Z-EU-S-Projektträgerin könnte ich noch weitere Angebote nutzen, aber die meisten Dienste stellen Kommunen bereit. In meiner Kommune gibt es nur ein Antragsverfahren für (papierne) Urkunden, die ich persönlich abholen müsste.

Die Behörden haben aus dieser Stagnation den Schluss gezogen, die Nutzung der Online-Ausweisfunktion sei zu kompliziert, und bieten für ihre Dienste Servicekonten zur Authentifizierung mit Benutzername und Passwort an. Wenn man Dienste mit einem hohen Vertrauensniveau über ein Servicekonto nutzen möchte, muss man das Konto allerdings mit der Online-Ausweisfunktion eröffnen – und selbst dann können einzelne Dienste laut FAQs zusätzlich die Online-Ausweisfunktion bei Anträgen vorsehen. Ein Servicekonto übersteht eine Änderung von Daten im Personalausweis (Umzug, Namensänderung) nicht – in diesem Fall ist das Servicekonto (vor der Neuausstellung des neuen Personalausweises) zu löschen und mit dem neuen Personalausweis ein neues anzulegen.

Servicekonten sind also eher fragil und eignen sich nicht als Element einer dauerhaften digitalen Identität. Hintergrund der Servicekonten ist keine Benutzbarkeitsanalyse, sondern die rechtliche Verpflichtung zu einem Portalverbund mit einheitlichen Zugangsmodalitäten durch das Online-Zugangsgesetz (die theoretisch natürlich ebenfalls der Benutzbarkeit dienen soll). In der Realität des Jahres 2021 werden Servicekonten noch längst nicht von allen Kommunen des jeweiligen Landes unterstützt und es ist eher unwahrscheinlich, dass die vorgesehene Umsetzung bis Ende 2022 gelingt.

Einen anderen Weg zum Ökosystem Digitale Identitäten hat vor einigen Wochen die Bundesregierung mit der ID Wallet eingeschlagen: In einer Smartphone-App sollen Daten aus dem Personalausweis (und anderen Ausweisdokumenten) gespeichert werden, aktuell gibt es eine Basis-ID und einen digitalen Führerscheinnachweis. Das Verfahren enthält allerdings konzeptionell so gravierende (und vorab bekannte) Schwachstellen, dass die Anwendung aus den App Stores zurückgezogen werden musste. Bayerische Amtsträgerinnen in Berlin können Digitalisierung eben mit einer gewissen Grandezza vergeigen.

Selbst die De-Mail als Vorzeigeprojekt der digitalen Bundesrepublik lahmt mittlerweile etwas, und nun fällt auch noch das Modernisierungsjahrzehnt aus. Aber die Blockchain wird's schon richten.

(Dieser Beitrag erschien leicht gekürzt und disambiguiert auch im Techniktagebuch. Kathrin Passig hat mich ermahnt, ironische Äußerungen zu unterlassen, um die langfristige Interpretierbarkeit zu erhöhen, und sogar die Gastbeitragsrichtlinien um einen entsprechenden Hinweis ergänzt.)

Experimente

Die Christlich-Demokratische Union steht nach Auffassung der Mandatsträgerin Nadine Schön für Experimentierfreude und Deregulation, ganz anders als etwa die Freien Demokraten:

Es werde genug zu tun geben, ist sich auch Schön sicher. Sollte die Ampelregierung kommen, dann werde die Union sicherlich Unterschiede zu ihren eigenen christdemokratischen Positionen feststellen. Etwa beim Thema Künstliche Intelligenz. Grüne und FDP tendierten dazu, vieles zu regulieren, während die CDU auch Experimentierräume schaffen wolle, so Schön.

Die Stammwählerinnen der Union und auch ihr jüngster Kanzlerkandidat dürften überrascht sein, wie progressiv und unkonventionell ihre politische Heimat insgeheim immer war.

Freund – Feind – Parteifreund – Mitbruder

Über die Namen der pflichtvergessenen Kirchenfunktionäre Rainer Maria Woelki, Ansgar Puff und Dominikus Schwaderlapp ist viel gescherzt worden, aber die Herren haben es auch sonst nicht leicht: Herr Schwaderlapp muss ein Jahr demütig fernab der Heimat seelsorgen (wenn auch in vollem Ornat), Herr Woelki wird eine geistliche Auszeit nehmen müssen (wenn auch bei vollen Bezügen), und nur Herr Puff darf seinen Dienst unverzüglich wieder aufnehmen.

Puff allerdings musste maliziöse Beistandsbekundungen von Kirchenbrüdern ertragen, als er während der Freistellung von seinen bischöflichen Aufgaben einen Kleinkinder-Gottesdienst in Köln-Klettenberg zelebrierte. Der dortige Pfarrer sah laut WDR keine Gefahr für die Kinder, da es eine öffenliche Veranstaltung sei. Ob Karl-Josef Schurf auch die Herren Woelki und Schwaderlapp für Menschen hält, die man nicht ohne Aufsicht mit Kindern (oder jungen Theologinnen) allein lassen dürfe, bleibt unklar. Eventuell erledigen sich Ränkespiele unter Mitbrüdern und das gesamte Problem einer machtvollen und missbrauchsbegünstigenden Institution aber auch bald von selbst.

Some Leniency

Seit einigen Jahren habe ich mich daran gewöhnt, Dateianhänge mit Umlauten manuell nachbenennen zu müssen, weil mutt sie wie folgt zur Speicherung anbietet:

=?iso-8859-1?Q?Ma=DFnahmenplan_Qualit?= =?iso-8859-1?Q?=E4tsmanagement.docx?=

In einem Forum wurde mir damals beschieden, das Problem seien alle anderen E-Mail-Clients, die mit Anhängen nicht standardkonform umgingen.

Zufällig stoße ich heute auf einen vergleichsweise jungen Gitlab-Eintrag, in dem McCarthy en passant die Konfigurationsvariable rfc2047_parameters erwähnt, mit der sich das Problem sofort lösen lässt. Auf die konsternierte Rückfrage, warum dieser Parameter nicht standardmäßig gesetzt sei, bekräftigt er die slippery slope-Position der Entwicklerinnen:

Accepting garbage by default encourages the proliferation of non-standard emails and further decay of the standards. Some leniency is of course appropriate: thus the inclusion of the config variable, and for example commit 26bba6f9 which adjusted 2047 decoding to cope with non-compliant partitioning.

But usage of 2047 vs 2231 encoding is straight-forward, and has been for over 20 years. Roessler didn't think $rfc2047_parameters merited default on, and neither have subsequent Mutt committers. I'm not inclined to change it either.

A similar argument was attempted in ticket 60, in which a faulty client used 2047 encoding across the entire Message-ID header. The ticket there needed to be lodged with the faulty MUA, not Mutt, and I would say the same thing here.

Diese Vorlage für eine erregte Diskussion um den Grad adäquater leniency lasse ich aus Dankbarkeit für rfc2047_parameters ungenutzt.

Entwicklungsoffen

Unter Windows 11 lassen sich künftig Android-Apps ausführen, nicht aber iOS-Apps, was die versierte Technologie-Redaktion der tagesschau zu einer Paraphrase der Walled Garden-Metapher verleitet:

IPhone-Nutzerinnen und -Nutzer, also die Apple-Welt, haben davon nichts, weil Apple nach wie vor seine Apps abschottet und sozusagen hinter einer künstlichen Mauer in seinem App-Store versteckt.

In diesem Sinne hat Epic wohl auch nicht gegen zu hohe Provisionen und für alternative Vertriebswege, sondern gegen die Abtretung aller Lizenzrechte an Apple und gegen die berüchtigte iOS-Exklusivitätsklausel geklagt (auch wenn die Apple-nahe Presse den Klagegegenstand natürlich irreführend darstellt). Microsoft dagegen positioniert sich laut tagesschau mit der Bereitstellung einer Android-Umgebung sehr geschickt und gibt erstmals Fremdentwicklern die Chance, Anwendungen für eine Microsoft-Plattform zu anzubieten. Wenn Steve Ballmer das noch erlebt hätte! Immerhin bleibt Microsoft sich in einem Punkt treu:

Allerdings ist diese Funktion noch nicht sofort verfügbar, weil sie nicht rechtzeitig fertig wurde.

Wenn Apple nicht sehr bald eine Plattform bereitstellt, die Software aus unterschiedlichen Quellen zulässt, sehe ich schwarz für AAPL.

Skurril

Neben der eigenwilligen, nicht ISO-konformen Notation von Kalenderdaten sorgen auch die United states customary units im Rest der Welt für milden Spott (Arbitrary Retarded Rollercoaster vs. Logical Smooth Sailing), und vielleicht haben die Britinnen diese Form der Aufmerksamkeit noch mehr vermisst als ihre blauen Pässe. Die Rückkehr zu imperialen Einheiten wird nicht das Empire wiederbeleben, aber in der internationalen Wahrnehmung dem unsympathischen Nationalismus etwas liebenswerte Skurrilität beimischen.

Dissens

Trotz aller Bemühungen um Geschlossenheit sind sich die Unionsparteien noch nicht ganz einig, wie sie das Wirken des Bundesfinanzministers bewerten sollen. Während dem bayerischen Ministerpräsidenten im Mai Übles schwante

Ich habe im Moment etwas Sorgen, was den Bundeshaushalt angeht. Der Bundesfinanzminister hat vielleicht Luftbuchungen gemacht, die wir jetzt noch gar nicht überblicken. Nach der Bundestagswahl brauchen wir eine ehrliche Eröffnungsbilanz.

– verlässt sich der nordrhein-westfälische Ministerpräsident kurz vor der Wahl auf den Anschein von Solidität und im Übrigen auf die Bundeskanzlerin, die auf den Finanzminister aufgepasst habe.

Unprofessionelle Tierquälerei

Die Aussetzung einiger Ferkel in nordrhein-westfälischen Städten hat glücklicherweise zur Aufnahme der Tiere in Tierheimen und auf Gnadenhöfen geführt. Dennoch: Die kurze Zeit außerhalb der gewohnten Massenhaltung ohne Tageslicht war sicher traumatisch, und der Sprecher der Stadt Mülheim spricht ganz zu Recht von einem Skandal und von Tierquälerei. Wie viel Leid hätte den armen Ferkeln erspart werden können, wenn sie aus der Abferkelanlage in den Kastenstand gewechselt und nach der Intensivmast professionell getötet worden wären?

Ausreiseberechtigung

Der Bundesaußenminister hat klare Erwartungen an die neue, religiös geprägte Regierung Afghanistans:

Wir erwarten, dass Menschen, die ausreiseberechtigt sind, das Land auch verlassen dürfen.

Es ist wirklich sehr fürsorglich, dass ein deutscher Politiker die Taliban vor einer contradictio in adiecto bewahrt, und der leicht paternalistische Tonfall ist schon ein Fortschritt gegenüber einer kolonialen Attitüde, in der die deutsche Bundesregierung Ausreiseberechtigte in anderen Ländern definiert.

Lebenszeit- und Cookie-Management

Ob der Holtzbrinck-Verlag automatisierte Downloads durch Abonnentinnen erschweren möchte oder schlicht ein neues CMS implementiert hat: Mein Skript funktioniert nicht mehr, obwohl sich am Quellcode der Download-Seite nichts geändert hat.

BeautifulSoup extrahiert weiterhin erfolgreich die Download-Links, aber die digitalen Zeitungsdokumente lassen sich nicht mehr mit

requests.get(file_link, auth=(username,password))

herunterladen. Offenbar akzeptiert der neue Download-Bereich (/restricted/) keine unmittelbare Authentifizierung mehr, sondern prüft den Session-Cookie, der durch einen vorangehenden Login gesetzt wurde. Wenn man also den Cookie namens creid aus dem Browser übernimmt und mitsendet –

response = requests.get(file_link, cookies=cookie_data)

werden die Dokumente anstandslos geliefert. Leider haben sie nun auch keine sprechenden Namen mehr (Name der Zeitung, Jahr und Ausgabe), sondern automatisch generierte Zeichenketten wie 0138e8cd-233f-43a0-8f33-ec13b2c70f31 oder 20f0ff56-5cea-4bf6-8a3e-c03c46673b3d. BeautifulSoup to the rescue:

edition = soup.find('p', {'class': 'epaper-info-title pull-left'}) result = re.match('.* (\d\d)/(\d\d\d\d)', edition.contents[0]) current_edition_name = f'zeitung_{result.group(2)}_{result.group(1)}'

Mit einem Anpassungsaufwand von einer Stunde kann ich nun jede Woche eine Minute sparen (manueller Download, manuelle Umbenennung der Dateien, manuelle Ablage im Zielordner) und schon ab Dezember 2022 wertvolle Lebenszeit sparen. Wenn der Holtzbrinck-Verlag mitspielt.