Blogarchiv 2014

Neuer PGP-Key

Jetzt mit noch mehr Se­cu­ri­ty :-)

Mein PGP-Key wird 10 Jahre alt - höchs­te Zeit, ihn zu er­set­zen! Hier mein Key Tran­si­ti­on State­ment, das so­wohl mit mei­nem alten, als auch mit mei­nem neuen Schlüs­sel si­gniert ist.

Die Kraut­re­por­ter sind mei­ner Mei­nung nach ein wich­ti­ges jour­na­lis­ti­sches Ex­pe­ri­ment: Ge­lingt es, eine jour­na­lis­ti­sche Platt­form zu fi­nan­zie­ren, ab­seits rei­ner Main­stream-The­men, ohne Quer­fi­nan­zie­rung durch Wer­bung und mit einer (hof­fent­lich) wirk­lich un­ab­hän­gi­gen Re­dak­ti­on? Die Un­ter­stüt­zung die­ser Idee war mir die 60 € für das erste Kraut­re­por­ter­jahr wert; eines der Kri­te­ri­en war für mich, daß es ein für mich als Nut­zer un­kom­pli­zier­tes Ex­pe­ri­ment sein muß: Ich zahle ein­ma­lig, und nach einem Jahr werde ich (mög­li­cher­wei­se) ge­fragt, ob ich ein wei­te­res Jahr möch­te oder auf ein Abo wech­seln will. Eben woll­te ich mei­nen Be­ta-Zu­gang ak­ti­vie­ren und staun­te beim Lesen der AGBs nicht schlecht – täuscht mich hier mein Ge­dächt­nis? Edit: Mein Ge­dächt­nis funk­tio­nier­te prima, aber selbst beim mehr­fa­chen Durch­le­sen der AGBs ist mir wohl ein Punkt ent­gan­gen – siehe Up­date

PEP – Pret­ty Easy Pri­va­cy

Ver­schlüs­sel­te Kom­mu­ni­ka­ti­on ein­fach ge­macht

Zwei Dinge sind in den letz­ten Mo­na­ten über­deut­lich ge­wor­den: Ei­ner­seits ist spä­tes­tens duch das Be­kannt­wer­den der ge­heim­dienst­li­chen Mas­sen­über­wa­chung klar ge­wor­den, dass es für Je­der­mann einen Be­darf an ver­schlüs­sel­ter Kom­mu­ni­ka­ti­on gibt. An­de­rer­seits zeigt die Not­wen­dig­keit, Leute mit Vor­trä­gen, Cryp­to­par­ties, etc. zu „schu­len“, daß eine si­che­re Kom­mu­ni­ka­ti­on noch lange nicht so be­nut­zer­freund­lich ist, wie man es haben woll­te. Pret­ty Easy Pri­va­cy (pEp) ist ein Pro­jekt, das den Ver­such un­ter­nimmt, ver­schie­dens­te Kom­mu­ni­ka­ti­ons­for­men (von Email über Whats­App bis Face­book und SMS) zu ver­schlüs­seln, und dabei so be­nut­zer­freund­lich wie ir­gend­mög­lich zu sein. Das Pro­jekt läuft be­reits seit über einem Jahr, nun bit­tet das Team um fi­nan­zi­el­le Un­ter­stüt­zung auf in­diego­go, um seine Ziele schnel­ler zu er­rei­chen.

Fire­wall-Logs mit Logs­tash und Ki­ba­na vi­sua­li­sie­ren

Erste Er­fah­run­gen mit dem ELK-Stack

Da ich mit dem Thema Log­da­tei­en-Ana­ly­se zu tun hatte, habe ich das als Anlaß ge­nom­men, mir mal den ELK-Stack (Elas­tic­se­arch, Logs­tash, Ki­ba­na) an­zu­se­hen. Das ganze ist zwar zum zen­tra­li­sier­ten Sam­meln von Sys­tem­logs ge­dacht, läßt sich aber auch zum Ana­ly­sie­ren be­ste­hen­der Log­files nut­zen. Als „Fin­ger­übung“ dien­te die Fra­ge­stel­lung: Woher kom­men denn die Leute, die re­gel­mä­ßig von de­ny­hosts in mei­nen Log­da­tei­en ver­ewigt wer­den? ;-)

TLS Per­for­mance-Tu­ning

Das ein­zi­ge Pro­blem mit TLS? Es wird noch nicht über­all ein­ge­setzt

Vor zwei Jah­ren hatte ich mich pro­jekt­be­dingt mit die­sem Thema be­schäf­ti­gen dür­fen – umso neu­gie­ri­ger war ich auf den Mit­schnitt die­ses Vor­tags. tl;dr: An­schau-Emp­feh­lung für alle, die ir­gend­wie etwas mit SSL und Per­for­mance-The­men zu tun haben (ins­be­son­de­re Web­mas­ter), eine sehr schö­ne Zu­sam­men­fas­sung der ver­schie­de­nen As­pek­te.

Ba­dUSB – eine Vor­ab-Ein­ord­nung

Eine klei­ne Samm­lung an Fak­ten und ähn­li­chen Ar­bei­ten

Seit zwei Tagen ma­chen Schlag­zei­len wie „The Se­cu­ri­ty of USB is fun­da­men­tal­ly bro­ken“ die Runde. Der Hin­ter­grund: Für die dies­jäh­ri­ge Black­hat wurde von For­schern ein Talk unter dem Titel „Turning USB pe­ri­pherals into Ba­dUSB“ ein­ge­reicht. Mit mo­di­fi­zier­ter Firm­ware ver­sucht das prä­pa­rier­te USB-Ge­rät, den Rech­ner an­zu­grei­fen. Sol­che Ideen sind nicht gänz­lich neu, ich ver­su­che mal, Hin­ter­grün­de und be­kann­te Fak­ten über den kom­men­den Talk zu­sam­men­zu­tra­gen.

Ja­va­fo­rum 2014

Ein kur­zer Rück­blick

Letz­te Woche fand das all­jähr­li­che Ja­va­fo­rum statt – ein Pflicht­be­such für Ja­va­ent­wick­ler im Gro­ß­raum Stutt­gart, mit über 1600 Leu­ten eine der grö­ße­ren und ein­flu­ß­rei­che­ren Ver­an­stal­tun­gen. Be­son­ders schön: Ich war ein­ge­la­den, einen der Vor­trä­ge zu hal­ten. Kurz zu­sam­men­ge­fa­ßt war’s schön wie immer, al­ler­dings hatte ich den Ein­druck, daß die­ses Jahr tech­ni­sche­re Talks etwas zu kurz kamen (viel­leicht hatte ich aber auch nur Pech mit mei­ner Aus­wahl der Talks). Im fol­gen­den eine kur­zer Abriß über die von mir be­such­ten Vor­trä­ge:

Sca­la­days 2014 in Ber­lin

Ein kur­zer Rück­blick

Da die Sca­la­days die­ses Jahr in Ber­lin statt­fan­den, war dies meine erste Ge­le­gen­heit, eine reine Sca­la-Kon­fe­renz zu be­su­chen. Die Sca­la­days fan­den heuer zum fünf­ten Mal statt und waren mit über 800 Be­su­chern die grö­ß­te Ver­an­stal­tung bis­her. Limit war letzt­end­lich der Ver­an­stal­tungs­ort, die Ti­ckets waren ei­ni­ge Wo­chen vor der Kon­fe­renz be­reits kom­plett aus­ge­bucht.

Da­ten­dar­stel­lung mit D3.​js und jQue­ry-Data­Tables

Ver­wen­den der­sel­ben Da­ten­quel­le für beide Dar­stel­lun­gen

Ich war – ver­geb­lich – auf der Suche nach etwas Bei­spiel­code, wie man ein Da­ten­set so­wohl als Ta­bel­le (ge­pimpt mit Data­Tables) als auch als Kurve mit D3.js dar­stel­len kann. Ich woll­te die Daten nicht in zwei un­ter­schied­li­chen For­ma­ten ex­por­tie­ren, das spart zum einen Code und zum an­de­ren La­de­zeit (die Daten müs­sen nur ein­mal ge­la­den und kön­nen an­schlie­ßend ge­ca­ched wer­den). Da meine Suche er­folg­los blieb, habe ich mich selbst um eine Lö­sung be­müht, und damit spä­te­re Su­chen­de fün­dig wer­den, ver­we­gi­ge ich sie hier :-)

Pit­falls beim Roo­ten des HTC But­ter­fly

Feine De­tails und ein paar hä­ß­li­che Über­ra­schun­gen

Mein alt­ge­dien­tes Ga­la­xy S2 scheint den Al­terstod zu ster­ben. Vor län­ge­rer Zeit habe ich ein HTC But­ter­fly in die Fin­ger be­kom­men; da­mals habe ich den Auf­wand des Um­stiegs ge­scheut, da nach dem Roo­ten plötz­lich die HTC-Over-the-air-Up­dates nicht mehr ein­ge­spielt wer­den konn­te. Nun woll­te ich einen neuen Ver­such wagen, der mich letzt­end­lich min­des­tens fünf schlaf­lo­se Näch­te ge­kos­tet hat. Ich be­haup­te mal ganz steil, daß ein grö­ße­rer Teil nicht auf meine man­gel­haf­te Re­cher­che, son­dern ei­ni­ge hä­ß­li­che Über­ra­schun­gen zu­rück­zu­füh­ren ist. Damit es an­de­ren HTC-Usern (dürf­te für so ziem­lich alle ak­tu­el­len HTC-Mo­del­le gel­ten) nicht eben­so geht, schrei­be ich die Ge­schich­te hier ein­mal auf.

Heart­bleed: Shit hits the fan

Der erste Bug mit ei­ge­nem Logo

Erst App­les go­to-fail-Bug, dann der Zer­ti­fi­kats-Bug in GnuTLS, und jetzt der Heart­bleed-Bug in OpenS­SL – in den letz­ten Wo­chen hat fak­tisch jede SSL-Im­ple­men­tie­rung ihr Fett weg­be­kom­men. Die Schwe­re der Feh­ler sind oben­drein in auf­stei­gen­der Rei­hen­fol­ge: Sorg­ten die ers­ten bei­den „nur“ dafür, daß Zer­ti­fi­ka­te fälsch­li­cher­wei­se als gül­tig an­er­kannt wur­den, er­laubt Heart­bleed es, Spei­cher­be­rei­che aus­zu­le­sen.

Diese Woche gab das „Ja­va­land“ sei­nen Ein­stand – der erste Durch­lauf der Kon­fe­renz fand auf dem Ge­län­de des Phan­ta­si­a­lands statt. Ich war sehr neu­gie­rig auf Leute, Vor­trags­ni­veau, und wie sich die Kon­fe­renz im Ver­gleich zur JAX plat­zie­ren würde. Ins­ge­samt 800 Teil­neh­mer kamen zur Pre­mie­re, das Vor­trags­pro­gramm wurde aus über 400 Ein­rei­chun­gen aus­ge­wählt.

Code­si­gning mit x509 si­che­rer als mit PGP

Die Bull­s­hit-Mel­dung der Woche

Die Woche ist erst we­ni­ge Stun­den alt, aber ich wage zu be­haup­ten, dass ich guten Ge­wis­sens diese Slash­dot-Mel­dung als Bull­s­hit der Woche be­zeich­nen kann. Es sind auf PGP-Key­ser­vern of­fen­bar fal­sche Schlüs­sel für Ent­wick­ler an Tor und Bit­co­in auf­ge­taucht. Die Schlüs­sel wer­den von den Ent­wick­lern zum Si­gnie­ren ihrer Code-Re­lea­ses ge­nutzt. Der Ar­ti­kel spe­ku­liert, daß Nach­rich­ten­diens­te ver­su­chen könn­ten, auf diese Weise ma­ni­pu­lier­ten Code unter die Leute zu brin­gen – und daß ein Wech­sel von PGP auf x509 eine pro­ba­te Ge­gen­maß­nah­me wäre. Was für ein un­glaub­li­cher Bull­s­hit!

Grad­le Plu­gin: Ver­si­ons­num­mer aus git

Kein Pro­blem mehr mit ver­ges­se­nen Ak­tua­li­sie­run­gen

Ein läs­ti­ges Pro­blem: Ei­ner­seits muss man die Ver­si­ons­num­mern in sei­nem Quell­text oder im Build­sys­tem pfle­gen, auf der an­de­ren Seite soll­te man nicht ver­ges­sen, beim Hoch­zäh­len der Ver­si­ons­num­mer auch einen ent­spre­chen­den Tag in der Ver­si­ons­kon­trol­le zu set­zen. Mein be­vor­zug­tes Build-Sys­tem für Java (und an­de­re JVM-Spra­chen) ist Grad­le, die ul­ti­ma­ti­ve Ver­si­ons­kon­trol­le ist so­wie­so git :-) Da Grad­le mit ei­ge­nen Plug­ins er­wei­ter­bar ist, lag es nahe, hier etwas ent­spre­chen­den Code zu bauen – das Er­geb­nis ist hier auf git­hub.

Ver­schlüs­sel­te Par­ti­tio­nen mit LVM auf SSDs

Ge­dan­ken beim Neu­ein­rich­ten eines Lap­tops

Mein Ge­schäft hat mir neues Werk­zeug zur Ver­fü­gung ge­stellt: Ein fri­scher Lap­top, zeit­ge­mäß mit einer SSD aus­ge­stat­tet. Na­tür­lich möch­te ich meine Daten nicht nur „ein­fach so“ ab­le­gen, son­dern an­ge­mes­sen gegen den Fall eines Ver­lusts si­chern. Nach kur­zem Zö­gern ent­schied ich mich für eine Neu­in­stal­la­ti­on mit kom­plett ver­schlüs­s­te­len Par­ti­tio­nen.

To­do-Lis­te mit Taskwar­ri­or und Mi­ra­kel

Ein zwei­ter An­lauf

Ich war ja sehr glück­lich mit As­trid, der To­do-App für An­dro­id. Nach dem Kauf von As­trid durch Yahoo gab es zwar nach wie vor den Quell­text auf git­hub, aber ohne die We­bo­b­er­flä­che habe ich meine Todos nach kur­zer Zeit nicht mehr ge­pflegt. Der Fork Tas­quid ist lei­der auch nicht in die Gänge ge­kom­men, wes­halb ich auf der Suche nach einer Al­ter­na­ti­ve war. todo.​txt schien mir eine pro­ba­te Lö­sung zu sein, al­ler­dings muß ich nach einem hal­ben Jahr sagen, daß es für mich nicht ge­zün­det hat: Das Kil­ler­ar­gu­ment waren die feh­len­den Dead­lines.

Congress Centrum Hamburg (CCH) at night

Der Jet­lag hat sich mas­siv ei­ni­ge Tage ge­hal­ten – woah, was für ein Con­gress! Licht­in­stal­la­tio­nen, wohin das Auge fällt, ein Rohr­post­sys­tem, durch das be­leuch­te­te Kap­seln wie die Bits bei Tron flitz­ten, ein Bar-Ro­bo­ter, Quad­c­op­ter, un­d­un­d­und… nicht zu ver­ges­sen: Rie­si­ge Vor­trags­räu­me mit span­nen­den Talks. Ein paar Talks habe ich vor Ort ge­se­hen, eine lange Liste war­tet fer­tig her­un­ter­ge­la­den dar­auf, end­lich ge­sich­tet zu wer­den. Ei­ni­ge Talks sind mir be­son­ders in Er­in­ne­rung ge­blie­ben, so­zu­sa­gen meine (Stand heute) „must see“-Lis­te.