Blogarchiv 2014

Neuer PGP-Key

Jetzt mit noch mehr Security :-)

Mein PGP-Key wird 10 Jahre alt - höchste Zeit, ihn zu ersetzen! Hier mein Key Transition Statement, das sowohl mit meinem alten, als auch mit meinem neuen Schlüssel signiert ist.

Die Krautreporter sind meiner Meinung nach ein wichtiges journalistisches Experiment: Gelingt es, eine journalistische Plattform zu finanzieren, abseits reiner Mainstream-Themen, ohne Querfinanzierung durch Werbung und mit einer (hoffentlich) wirklich unabhängigen Redaktion? Die Unterstützung dieser Idee war mir die 60 € für das erste Krautreporterjahr wert; eines der Kriterien war für mich, daß es ein für mich als Nutzer unkompliziertes Experiment sein muß: Ich zahle einmalig, und nach einem Jahr werde ich (möglicherweise) gefragt, ob ich ein weiteres Jahr möchte oder auf ein Abo wechseln will. Eben wollte ich meinen Beta-Zugang aktivieren und staunte beim Lesen der AGBs nicht schlecht – täuscht mich hier mein Gedächtnis? Edit: Mein Gedächtnis funktionierte prima, aber selbst beim mehrfachen Durchlesen der AGBs ist mir wohl ein Punkt entgangen – siehe Update

PEP – Pretty Easy Privacy

Verschlüsselte Kommunikation einfach gemacht

Zwei Dinge sind in den letzten Monaten überdeutlich geworden: Einerseits ist spätestens duch das Bekanntwerden der geheimdienstlichen Massenüberwachung klar geworden, dass es für Jedermann einen Bedarf an verschlüsselter Kommunikation gibt. Andererseits zeigt die Notwendigkeit, Leute mit Vorträgen, Cryptoparties, etc. zu „schulen“, daß eine sichere Kommunikation noch lange nicht so benutzerfreundlich ist, wie man es haben wollte. Pretty Easy Privacy (pEp) ist ein Projekt, das den Versuch unternimmt, verschiedenste Kommunikationsformen (von Email über WhatsApp bis Facebook und SMS) zu verschlüsseln, und dabei so benutzerfreundlich wie irgendmöglich zu sein. Das Projekt läuft bereits seit über einem Jahr, nun bittet das Team um finanzielle Unterstützung auf indiegogo, um seine Ziele schneller zu erreichen.

Firewall-Logs mit Logstash und Kibana visualisieren

Erste Erfahrungen mit dem ELK-Stack

Da ich mit dem Thema Logdateien-Analyse zu tun hatte, habe ich das als Anlaß genommen, mir mal den ELK-Stack (Elasticsearch, Logstash, Kibana) anzusehen. Das ganze ist zwar zum zentralisierten Sammeln von Systemlogs gedacht, läßt sich aber auch zum Analysieren bestehender Logfiles nutzen. Als „Fingerübung“ diente die Fragestellung: Woher kommen denn die Leute, die regelmäßig von denyhosts in meinen Logdateien verewigt werden? ;-)

TLS Performance-Tuning

Das einzige Problem mit TLS? Es wird noch nicht überall eingesetzt

Vor zwei Jahren hatte ich mich projektbedingt mit diesem Thema beschäftigen dürfen – umso neugieriger war ich auf den Mitschnitt dieses Vortags. tl;dr: Anschau-Empfehlung für alle, die irgendwie etwas mit SSL und Performance-Themen zu tun haben (insbesondere Webmaster), eine sehr schöne Zusammenfassung der verschiedenen Aspekte.

BadUSB – eine Vorab-Einordnung

Eine kleine Sammlung an Fakten und ähnlichen Arbeiten

Seit zwei Tagen machen Schlagzeilen wie „The Security of USB is fundamentally broken“ die Runde. Der Hintergrund: Für die diesjährige Blackhat wurde von Forschern ein Talk unter dem Titel „Turning USB peripherals into BadUSB“ eingereicht. Mit modifizierter Firmware versucht das präparierte USB-Gerät, den Rechner anzugreifen. Solche Ideen sind nicht gänzlich neu, ich versuche mal, Hintergründe und bekannte Fakten über den kommenden Talk zusammenzutragen.

Javaforum 2014

Ein kurzer Rückblick

Letzte Woche fand das alljährliche Javaforum statt – ein Pflichtbesuch für Javaentwickler im Großraum Stuttgart, mit über 1600 Leuten eine der größeren und einflußreicheren Veranstaltungen. Besonders schön: Ich war eingeladen, einen der Vorträge zu halten. Kurz zusammengefaßt war’s schön wie immer, allerdings hatte ich den Eindruck, daß dieses Jahr technischere Talks etwas zu kurz kamen (vielleicht hatte ich aber auch nur Pech mit meiner Auswahl der Talks). Im folgenden eine kurzer Abriß über die von mir besuchten Vorträge:

Scaladays 2014 in Berlin

Ein kurzer Rückblick

Da die Scaladays dieses Jahr in Berlin stattfanden, war dies meine erste Gelegenheit, eine reine Scala-Konferenz zu besuchen. Die Scaladays fanden heuer zum fünften Mal statt und waren mit über 800 Besuchern die größte Veranstaltung bisher. Limit war letztendlich der Veranstaltungsort, die Tickets waren einige Wochen vor der Konferenz bereits komplett ausgebucht.

Datendarstellung mit D3.js und jQuery-DataTables

Verwenden derselben Datenquelle für beide Darstellungen

Ich war – vergeblich – auf der Suche nach etwas Beispielcode, wie man ein Datenset sowohl als Tabelle (gepimpt mit DataTables) als auch als Kurve mit D3.js darstellen kann. Ich wollte die Daten nicht in zwei unterschiedlichen Formaten exportieren, das spart zum einen Code und zum anderen Ladezeit (die Daten müssen nur einmal geladen und können anschließend gecached werden). Da meine Suche erfolglos blieb, habe ich mich selbst um eine Lösung bemüht, und damit spätere Suchende fündig werden, verwegige ich sie hier :-)

Pitfalls beim Rooten des HTC Butterfly

Feine Details und ein paar häßliche Überraschungen

Mein altgedientes Galaxy S2 scheint den Alterstod zu sterben. Vor längerer Zeit habe ich ein HTC Butterfly in die Finger bekommen; damals habe ich den Aufwand des Umstiegs gescheut, da nach dem Rooten plötzlich die HTC-Over-the-air-Updates nicht mehr eingespielt werden konnte. Nun wollte ich einen neuen Versuch wagen, der mich letztendlich mindestens fünf schlaflose Nächte gekostet hat. Ich behaupte mal ganz steil, daß ein größerer Teil nicht auf meine mangelhafte Recherche, sondern einige häßliche Überraschungen zurückzuführen ist. Damit es anderen HTC-Usern (dürfte für so ziemlich alle aktuellen HTC-Modelle gelten) nicht ebenso geht, schreibe ich die Geschichte hier einmal auf.

Diese Woche gab das „Javaland“ seinen Einstand – der erste Durchlauf der Konferenz fand auf dem Gelände des Phantasialands statt. Ich war sehr neugierig auf Leute, Vortragsniveau, und wie sich die Konferenz im Vergleich zur JAX platzieren würde. Insgesamt 800 Teilnehmer kamen zur Premiere, das Vortragsprogramm wurde aus über 400 Einreichungen ausgewählt.

Codesigning mit x509 sicherer als mit PGP

Die Bullshit-Meldung der Woche

Die Woche ist erst wenige Stunden alt, aber ich wage zu behaupten, dass ich guten Gewissens diese Slashdot-Meldung als Bullshit der Woche bezeichnen kann. Es sind auf PGP-Keyservern offenbar falsche Schlüssel für Entwickler an Tor und Bitcoin aufgetaucht. Die Schlüssel werden von den Entwicklern zum Signieren ihrer Code-Releases genutzt. Der Artikel spekuliert, daß Nachrichtendienste versuchen könnten, auf diese Weise manipulierten Code unter die Leute zu bringen – und daß ein Wechsel von PGP auf x509 eine probate Gegenmaßnahme wäre. Was für ein unglaublicher Bullshit!

Gradle Plugin: Versionsnummer aus git

Kein Problem mehr mit vergessenen Aktualisierungen

Ein lästiges Problem: Einerseits muss man die Versionsnummern in seinem Quelltext oder im Buildsystem pflegen, auf der anderen Seite sollte man nicht vergessen, beim Hochzählen der Versionsnummer auch einen entsprechenden Tag in der Versionskontrolle zu setzen. Mein bevorzugtes Build-System für Java (und andere JVM-Sprachen) ist Gradle, die ultimative Versionskontrolle ist sowieso git :-) Da Gradle mit eigenen Plugins erweiterbar ist, lag es nahe, hier etwas entsprechenden Code zu bauen – das Ergebnis ist hier auf github.

Verschlüsselte Partitionen mit LVM auf SSDs

Gedanken beim Neueinrichten eines Laptops

Mein Geschäft hat mir neues Werkzeug zur Verfügung gestellt: Ein frischer Laptop, zeitgemäß mit einer SSD ausgestattet. Natürlich möchte ich meine Daten nicht nur „einfach so“ ablegen, sondern angemessen gegen den Fall eines Verlusts sichern. Nach kurzem Zögern entschied ich mich für eine Neuinstallation mit komplett verschlüsstelen Partitionen.

SAN-Zertifikatsrequest mit openssl generieren

…wenn mehr als eine Domain in einem Zertifikat stehen sollen

Hostet man auf einem Webserver mehrere vhosts, die über SSL erreichbar sein sollen, hat man drei Möglichkeiten, dies einzurichten:

Todo-Liste mit Taskwarrior und Mirakel

Ein zweiter Anlauf

Ich war ja sehr glücklich mit Astrid, der Todo-App für Android. Nach dem Kauf von Astrid durch Yahoo gab es zwar nach wie vor den Quelltext auf github, aber ohne die Weboberfläche habe ich meine Todos nach kurzer Zeit nicht mehr gepflegt. Der Fork Tasquid ist leider auch nicht in die Gänge gekommen, weshalb ich auf der Suche nach einer Alternative war. todo.txt schien mir eine probate Lösung zu sein, allerdings muß ich nach einem halben Jahr sagen, daß es für mich nicht gezündet hat: Das Killerargument waren die fehlenden Deadlines.

Congress Centrum Hamburg (CCH) at night

Der Jetlag hat sich massiv einige Tage gehalten – woah, was für ein Congress! Lichtinstallationen, wohin das Auge fällt, ein Rohrpostsystem, durch das beleuchtete Kapseln wie die Bits bei Tron flitzten, ein Bar-Roboter, Quadcopter, undundund… nicht zu vergessen: Riesige Vortragsräume mit spannenden Talks. Ein paar Talks habe ich vor Ort gesehen, eine lange Liste wartet fertig heruntergeladen darauf, endlich gesichtet zu werden. Einige Talks sind mir besonders in Erinnerung geblieben, sozusagen meine (Stand heute) „must see“-Liste.