Privacy- und Sicherheitsaspekte
Dissertation "Privacy- und Sicherheitsaspekte in ubiquitären Umgebungen" als Buch und als PDF
Social media
Software
Viele Leute kennen die Zwei-Faktor-Authentisierung (etwa wissen und etwas besitzen) von den RSA-Tokens: Auf diesen Geräten erscheint in regelmäßigen Abständen eine neue Zahlenfolge, welche man bei der Anmeldung zusammen mit seinem Benutzername und seinem Kennwort eingeben muß. Ein gestohlenes Kennwort alleine genügt also für einen Angreifer nicht mehr, er muß auch im Besitz des RSA-Tokens sein, um stets eine frische gültige Nummer greifbar zu haben. Der Vorteil gegenüber einem SSH-Key ist: Wenn man in die Verlegenheit gerät, sich dringend von einem nicht vertrauenswürdigen Rechner aus einloggen zu müssen, so kann ein Angreifer darauf maximal für diese Sitzung als Trittbrettfahrer "mitschwimmen"; ein erneutes Einloggen ist nicht möglich (beim Verwenden eines SSH-Keys könnte er diesen kopieren und das Passwort abhören).
Mit freudiger Überraschung habe ich gelesen, daß Google für einige seiner Dienste ebenfalls eine Zwei-Faktor-Authentisierung optional anbietet - und daß der Quelltext hierfür verfügbar ist. Dabei behilft sich Google der Tatsache, daß viele Leute ein Smartphone besitzen; eine App hierauf dient als Ersatz für das spezialisierte RSA-Token.
Im folgenden möchte ich zeigen, wie man unter Gentoo das Google Authenticator PAM-Modul für Remote-Zugriffe (beispielsweise via ssh) einrichtet.
Wohin mit den ganzen Daten? Nahezu alle Medien kränkeln bei der Haltbarkeit: Disketten standen schon immer in dem Ruf, schnell zu vergessen; CD- und (insbesondere) DVD-Rohlinge bieten oft nach wenigen Jahren unangenehme Überraschungen. Auch mit DAT-Streamern kenne ich viele Leute, die vom Effekt des Durchkopierens betroffen waren.
Wirklich haltbar über Jahrhunderte scheinen Steintafeln - sowie Gedrucktes (sofern man geeignetes Papier und brauchbare Tinte verwendet).
The patch is working quite nicely for me - in 12 weeks, only one spammer got through (and ended very quickly on my blacklist). So I extracted my code into a separate module, reducing the size of the patch for the original multiping module.
You can get it on my Drupal page. Don't forget: It is not enough to install the module, you have to apply the patch included to the original trackback module.
Ich habe vor rund acht Wochen das Trackback-Modul gepatcht, so daß es die sendende Seite einigen "Sanity Checks" unterzieht. Das ganze scheint tatsächlich zu funktionieren wie geplant: Nahezu der gesamte Trackback-Spam stammt von Botnetzen, weshalb die IP-Adresse des Trackback-Senders nichts mit der IP-Adresse zu tun hat, auf welche die im Trackback angegebene URL auflöst.
Since several people asked: Here is a patch (containing my trackback sanity checks) against the trackback module. Mind that this is just a draft, configuration of the behaviour has to be done in the source code. The preconfigured behaviour is to publish trackbacks which fulfill the sanity checks; all other trackback requests receive an error reply. You have been warned ;)
The update of the Multiping module for Drupal is now available on this site! I've been running it for three weeks now and it didn't cause any trouble, so I hope it will work fine on your site(s), too.
I've been experiencing some trackback spam floods recently, so I'm trying some new means of filtering:
- The server mentioned in the trackback link must resolve to an IP in the same subnet as the IP sending the trackback
- The page to which the trackback link refers must contain the URL of my site
Please help me testing this scheme: Write a blog entry with a link to my page, and send a trackback here. If the trackback doesn't get through, please drop a comment here. I'm curious whether this will work...
Gleich zwei Jubiläen an (fast) einem Tag: PGP wird 15 Jahre alt, die Firma PGP Inc. feiert das Erscheinen der Version 1.0 vor 15 Jahren - damals als Hobbyprojekt von Phil Zimmerman erschienen. Nahezu zeitgleich erscheint GPG in der Version 2.0. Die neue Version ist modularer als die 1er-Versionen aufgebaut, neben PGP-Mails gibt es nun auch Tools für S/MIME-Verschlüsselung.
TaoSecurity hat sechs Bücher über die Entwicklung sicherer Software rezensiert. Wer ein Buch über dieses Thema sucht, findet hier sicher ein paar Anhaltspunkte für seine Entscheidung.
Da mir entsprechende Literatur auch noch im Schrank fehlt, habe ich die Reviews der Bücher durchgelesen.
Daß das Entwickeln von Software etwas anders funktioniert als sonstige Ingenieurtätigkeiten ist hinlänglich bekannt; ob das an den Eigenarten des Programmierens oder der Programmierer liegt (oder gar an den Gegebenheiten der Neuzeit wie der Zusammenarbeit via Internet, ist eine offene Frage. Verschiedene Ideen wie Extreme Programming schlagen unkonventionelle Ansätze vor.
Ähnliche Ideen und Töne schlägt auch das Büchlein Getting Real an, das es nun auch online zu lesen gibt. Locker geschrieben enthält es 91 Kurzessays über das Planen eines Softwareprojekts, das Führen einer Softwarefirma oder dem Gründen eines Software-Startups.
Es ist auf alle Fälle für alle die einen Blick wert, die mit der Entwicklung von Software zu tun haben.
(via Pixelgraphix)
Goboard tags - a means to display go boards
I started writing this piece of code in 2003 for the DGoB forum. The forum initially used YaBBse, until it migrated to the Simple Machines Forum (SMF) system. I took the opportunity to create a decent module, which should be suitable for automatic installation.
