Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

March 13 2013

06:02

Ein Angriff auf die Verschlüsselung von https

Die gute Nachricht: Es ist noch lange nicht alles kaputt, zumindest aus Benutzersicht. Für Kryptographen gilt ein System, bei dem man nach wenigen 10.000 Handshakes auf den Inhalt zurückschließen kann, schon längst als gebrochen. Dieses Szenario bietet sich, wenn man den Algorithmus RC4 im Protokoll von https verwendet, so jedenfalls schildert es diese Zusammenfassung eines Papers.

Weiterlesen

February 27 2013

08:06

On hold...

Ich weiß, hier ist's in letzter Zeit ziemlich ruhig. Das liegt allerdings nicht (nur) daran, daß ich wenig Zeit zum schreiben habe. Irgendwie mißfällt mir das Seitensetup immer mehr, so daß das Bloggen auch immer weniger Spaß macht.
Deshalb bemühe ich mich momentan um den Umzug des technischen Unterbaus; ich habe mir den statischen Seitengenerator nanoc etwas näher angesehen, und der ist ein heißer Kandidat. Momentan fließt viel freie Zeit in die Umstellung und Konvertierung der Inhalte... ich bitte um Geduld :-)

Tags: de Site

February 06 2013

10:52

"Netzmusik" am Safer Internet Day

Heute war ich zu Besuch bei der Stadtbibliothek in Bad Canstatt und durfte vor zwei siebten Klassen der nahegelegenen Realschule über das Thema Musik aus dem Netz berichten. Die Folien kann man hier im Browser durchblättern, herunterladen kann man sie über das git-Repository (bei github). Zugegebenermaßen ist das ganze Thema rings um Copyright, Privatkopie, Creative Commons und Netzmusik eher spröder Natur, umso mehr freute es mich, daß die über 40 Jugendlichen dem ganzen über eine Stunde lang folgten, ohne daß es zu unruhig wurde... und obendrein am Schluß eine Reihe spannender Anschlußfragen stellen konnten. Mein Kompliment an die Runde :-)

Weiterlesen

February 02 2013

17:53

"Safer Internet Day" voraus...

Anläßlich des Safer Internet Day 2013 hat die Stadtbibliothek Stuttgart eine ganze Reihe von Vorträgen und Aktionen im Programm. An einigen davon ist der Chaos Computer Club Stuttgart mit von der Partie, so werde ich einmal vor einer Schulklasse etwas über legale Musik aus dem Netz erzählen und auf einer Podiumsdiskussion rund um das Thema "Smartphones und Sicherheit" Rede und Antwort stehen.

Weiterlesen

January 27 2013

21:16

Sichere, verschlüsselte Off-Site-Backups - die Empfängerseite

Vor einem Jahr hatte ich beschrieben, wie ich ein verschlüsseltes Backup auf einen Rechner im Netz mit Duplicity mache. Duplicity erledigt die eigentliche Backup-Aufgabe und die Verschlüsselung mit gpg. Anschließend werden diese Daten per sftp auf das entfernte System geschoben. Was man hierbei beachten kann, möchte ich hier quasi als Follow-Up-Artikel dokumentieren.

Weiterlesen

December 14 2012

16:56

Geekige Weihnachtstage

Gestern durfte ich beim CCC Stuttgart den Weihnachtsvortrag gestalten. Es ging um mögliche Projekte, mit denen sich Geek in den freien Tagen zwischen den Jahren auseinandersetzen und Spaß haben könnte.
Meine Wahl fiel auf Herumspielen mit Metasploit und Beef (beides bequem mit der Backtrack-CD testbar), Programmierspiele zum Lernen neue Sprachen sowie „sanftes Hardwarebasteln“ mit dem Arduino. Die Folien (diesmal mit reveal.js erstellt) liegen hier auf github (samt zugehörigem Repository) - in den Folien gibt es reichlich Links zu den einzelnen Projekten.

Weiterlesen

December 05 2012

20:27

Passwort-Manager: Keepass-Integration everywhere

KeePass ist ein Klassiker unter den Passwort-Managern. Wie viele andere auch speichert er Kennwörter und andere sensitive Informationen mit einem Master-Kennwort geschützt ab. Seine Vorteile waren schon immer die Opensource-Lizenz sowie Portierungen für verschiedenste Plattformen und Geräte - ich hatte ihn schon auf meinem Palm Pilot schon im Einsatz. Mit KeePass 2 gab es einen Bruch in der Entwicklung: Neues Datenformat, Mono statt C++, etc. Unter Linux (mit Mono) funktionierte der "neue" KeePass nur halblebig, weshalb ich lange Zeit noch bei KeePassX blieb. Was mich wurmte war eine fehlende Synchronisation mit Firefox. Auf den Tip eines Kollegen hin startete ich einen neuen Anlauf, und ich kann vermelden: Es geht! Nach etwas Bastelei habe ich nun die Passwörter von Firefox und den händisch eingetragenen synchronisiert auf allen Geräten, einschließlich Android.

Weiterlesen

December 03 2012

17:28

git und https - diesmal das Serverzertifikat (done right)

git und https scheint sich hier zur "neverending story" zu mausern :-) Trotzdem muß ich zu diesem Thema nochmals dringend etwas loswerden.
Situation: Server ist eingerichtet, benutzt aber entweder ein selbstsigniertes Zertifikat oder von einer CA, die nicht "allgemein verbreitet" ist (Firmen-CA, CAcert, etc.). Folge: Git meldet

error: SSL certificate problem: self signed certificate in certificate chain while accessing https://...
fatal: HTTP request failed

Klar, woher soll git auch das Zertifikat kennen... wirft man die Meldung in Google, landet man bei Empfehlungen wie dieser hier auf stackoverflow: Per Umgebungsvariable "GIT_SSL_NO_VERIFY=true" oder git-Konfiguration "git config --global http.sslVerify false" am besten gleich global die Überprüfung abschalten, dann gibt's keine nervigen Fehlermeldungen mehr... JESUS H. CHRIST, DON'T DO THAT!

Weiterlesen

November 28 2012

16:17

Arme-Leute-Rechteverwaltung mit SSL-Client-Zertifikaten

Für ein Projekt administriere ich einen Server, auf dem verschiedene Webanwendungen laufen. Sicherheitspolicy ist, daß ein Zugriff darauf nur über https und Client-Zertifikaten möglich sein darf - so weit, so einfach.
Eine der Anwendungen ist gitlab, eine github-ähnliche Weboberfläche für git-Repositories. Erfreulicherweise begeisterten sich immer mehr Leute, die nicht direkt zum Projekt gehörten, für git... und dann folgte der Klassiker: Es soll nun Leute geben, die ausschließlich auf gitlab, aber auf keine der anderen Anwendungen zugreifen können. Also mußte zusätzlich zur Authentisierung noch eine Authorisierung her... aber wie? Die Rechtekontrolle sollte auf Basis von URL (bzw. URL-Teil) sowie den Client-Zertifikaten erfolgen und außerdem "abwärtskompatibel" zu den bereits ausgegebenen Zertifikaten sein.
Wer ebenfalls in eine solche Situation kommt - folgende Möglichkeiten sind mir hierzu eingefallen:

Weiterlesen

October 31 2012

17:24

Geeks (not so) anonymous

Auch, wenn dieser Artikel aus dem Rahmen der üblichen Texte hier fällt: Vielleicht fehlte mir nur der Anlaß (mit Deadline), endlich mal wieder etwas zu schreiben! Die Geeksisters haben mich zur Teilnahme an einer Blogparade rund um das Geek-sein eingeladen. Das impliziert, daß ich wohl ein Geek sein muß... ;-)

Weiterlesen

July 26 2012

06:16

And the winner is...

Die Pwnies sind wieder los! Letzte Nacht wurden auf der Black Hat Conference die "Security-Oscars" vergeben. Den Preis gibt es in verschiedenen Kategorien, von extrem coolen Exploits bis hin zu unglaublich dummen Fehlern.
Zumindest in einigen Punkten war abzusehen, daß sich die Favoriten durchsetzen werden: Die beiden Chrome-Exploits sind schon wirklich unglaublich ausgefuchst (Verkettungen von 6 bzw. 14 Bugs, um vom Browser durch die Sandbox hindurch auf das eigentliche System zu kommen) - und über den grandiosen "so bekomme ich Admin-Rechte"-Bug von MySQL komme ich immer noch nicht hinweg ("Darf ich?" - "Nein." - "Darf ich jetzt?" - "Nein!" - "Und jetzt?" - "Na gut...").

Weiterlesen

July 14 2012

08:03

Rückblick aufs Java-Forum Stuttgart 2012

Wie im letzten Jahr war ich auch dieses Jahr auf dem Java-Forum Stuttgart als Speaker eingeladen. Auch heuer waren die 1200 Karten lange vor der Veranstaltung ausverkauft, das Interesse an der Veranstaltung ist ungebrochen hoch.
In meinem letztjährigen Vortrag ging es um den Entwurf von REST-APIs, dieses Jahr drehte sich der Talk um die ersten Schritte mit dem Skalierungs-Framework Akka.
Das war mein Besuchsprogramm:

Weiterlesen

June 30 2012

12:45

Apple - Facebook -Google - Amazon

Ein fünfminütiges Video der Landesanstalt für Medien Nordrhein-Westfalen, welches auf die "großen vier" einen Blick bezüglich Markt, Geschäftsmodell und die Konsequenzen für die Nutzer wirft:

Weiterlesen

June 28 2012

18:15

Shiro und Spring Security: Artikel im Javamagazin

Nicht ganz ohne Stolz kann ich verlautbaren: In der aktuellen Ausgabe des Javamagazins ist ein Artikel von mir zu lesen! Zugegebenermaßen hat der Release von Groovy 2.0 mir knapp den Rang abgelaufen ;-) Wenn man genau hinguckt, findet man auf dem Cover rechts unten dennoch einen Verweis auf meinen Aufsatz.
Vor geraumer Zeit stand in einem Projekt die Entscheidung über die Verwendung eines Security-Frameworks an - will man eines (Ja!), und wenn ja, welches. Kandidaten waren Apache Shiro und Spring Security. Die Überlegungen waren der Anlaß, eine Dummy-Webanwendung Schritt für Schritt abzusichern, und das jeweils mit beiden Frameworks. So bekommt man meiner Meinung nach ein gutes Gespür dafür, wie die Bibliotheken "ticken" und welche einem eher entgegenkommt.

Weiterlesen

June 27 2012

04:51

It's all about disaster recovery

Fotografen gehören (unter anderem) zu den Leuten, denen Festplatten nie groß genug sein können - dank der ständig steigenden Megapixel-Zahlen ist es ein leichtes, rasch mehr als eine Festplatte mit Bildern zu füllen. Mit dem Erscheinen des Drobo ging ein Traum in Erfüllung: Ein RAID-artiges Gerät, das neben erhöhter Ausfallsicherheit (Redundanz wie bei einem RAID 5) in der Lage war, "mitzuwachsen". Man konnte die Kapazität des Geräts einfach dadurch erhöhen, indem man eine der Festplatten durch eine größere austauschte. Zugegebenermaßen war auch ich vom Drobo fasziniert, spätestens mit Erscheinen der NAS-Variante wäre das ein tolles Gimmick für den Haushalt gewesen; aber bezüglich der Ablage von Daten bin ich übervorsichtig - was, wenn mal etwas schief geht?

Weiterlesen

June 15 2012

10:13

"Chaos macht Schule" in Geislingen

Endlich habe ich eine schon lange offene Bringschuld erfüllt: Ich war heute zu Besuch an der Emil-von-Behring-Schule in Geislingen, um der dortigen elften Klassenstufe über die Risiken von Facebook zu berichten. Trotz Freitag Nachmittag war die versammelte Mannschaft recht konzentriert dabei - und ich hatte den Eindruck, daß der ein oder andere Denkanstoß und Augenöffner dabei war.

Weiterlesen

May 31 2012

21:57

GPT und grub für Noobs

Dies ist die Geschichte einer Nachtschicht (ja, der Noob aus dem Titel bin ich). Übeltäter war ein recht frisch installierter Sabayon-Rechner, der plötzlich nicht mehr booten wollte. Der Rechner kam noch bis zu den vier Buchstaben GRUB, dann rührte sich nichts mehr. Nach einer Kernel Panic beim Versuch, den Rechner mit Hilfe eines von einer CD gestarteten GRUBs (grml ftw!) zu booten, war schon am Fluchen über vermeintlich defekte Hardware. Letztendlich war (m)ein Fsckup bei der Installation von GRUB2 auf der mit GPT organisierten Platten das Problem.

Weiterlesen

April 28 2012

09:20

Big Data - spannend, aber nur für wenige relevant?

Ich war letzte Woche auf der JAX, die dieses Jahr zusammen mit der (neuen) Big Data Conference stattfand. Aus Interesse habe ich mir einige der Big Data Talks angehört. Bottom Line für mich: Ich kann nicht nachvollziehen, wie man den NoSQL-Hype schon wieder als "quasi-out" bezeichnen kann und man "Big Data" als das nächste große Buzzword pusht; technisch ist Big Data sicher ein spannendes Thema, jedoch dürfte der Kontakt damit für die meisten Entwickler maximal "auf Distanz" stattfinden.

Weiterlesen

April 10 2012

19:19

HtmlUnit mit https und Client-Zertifikaten

HtmlUnit ist eine Java-Bibliothek, welche eine Art "headless Webbrowser" zur Verfügung stellt - Seitenabrufe, Suche nach Elementen auf Seiten und anschließende Aktionen lassen sich hiermit programmieren (beispielsweise für Integrationstest das Ausfüllen eines Login-Formulars und anschließende Klicken des Login-Buttons). Unglücklicherweise bietet HtmlUnit keine geradlinige Unterstützung für https - insbesondere bei der Verwendung von Client-Zertifikaten ist man schlichtweg aufgeschmissen.
Unter der Haube verwendet das aktuelle HtmlUnit zum Aufbau von Verbindungen die Apache HttpComponents; in früheren Versionen war es Apache HttpClient - hier konnte man mit dem hier beschriebenen Trick die Clientzertifikate "unterschieben". Nach einigem Graben in den Untiefen der Bibliothek habe ich nun einen Weg gefunden, mit dem es auch in der aktuellen Version möglich ist.

Weiterlesen

March 25 2012

17:46

Diskussion über E-Books

Ich war diese Woche zwei Mal eingeladen, in der Stadtbibiliothek Stuttgart über E-Books und E-Book-Reader zu referieren (Foliendownload, Folienquelltext auf github). Die Stadtbibliothek hat seit geraumer Zeit auch E-Book-Reader im Sortiment, außerdem besteht die Möglichkeit, mit Hilfe des Bibliotheksausweises E-Books online auszuleihen. In den Vorträgen sollte es vornehmlich um die Technik (sowohl als Hintergrundwissen als auch als Anhaltspunkte für Kriterien bei der Suche nach einem eigenen Gerät) gehen - ich wollte jedoch die Software-technische Seite nicht auslassen und habe deshalb auch das Thema DRM diskutiert; ausgehend vom Aufhänger, wie denn eine begrenzte Leihfrist von E-Books funktioniert ging es bis hin zu den persönlichen und gesellschaftlichen Konsequenzen von DRM.

Weiterlesen

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl