Mein PGP-Key wird 10 Jahre alt - höchste Zeit, ihn zu ersetzen! Hier mein Key Transition Statement, das sowohl mit meinem alten, als auch mit meinem neuen Schlüssel signiert ist.

Die Krautreporter sind meiner Meinung nach ein wichtiges journalistisches Experiment: Gelingt es, eine journalistische Plattform zu finanzieren, abseits reiner Mainstream-Themen, ohne Querfinanzierung durch Werbung und mit einer (hoffentlich) wirklich unabhängigen Redaktion? Die Unterstützung dieser Idee war mir die 60 € für das erste Krautreporterjahr wert; eines der Kriterien war für mich, daß es ein für mich als Nutzer unkompliziertes Experiment sein muß: Ich zahle einmalig, und nach einem Jahr werde ich (möglicherweise) gefragt, ob ich ein weiteres Jahr möchte oder auf ein Abo wechseln will. Eben wollte ich meinen Beta-Zugang aktivieren und staunte beim Lesen der AGBs nicht schlecht – täuscht mich hier mein Gedächtnis? Edit: Mein Gedächtnis funktionierte prima, aber selbst beim mehrfachen Durchlesen der AGBs ist mir wohl ein Punkt entgangen – siehe Update

Zwei Dinge sind in den letzten Monaten überdeutlich geworden: Einerseits ist spätestens duch das Bekanntwerden der geheimdienstlichen Massenüberwachung klar geworden, dass es für Jedermann einen Bedarf an verschlüsselter Kommunikation gibt. Andererseits zeigt die Notwendigkeit, Leute mit Vorträgen, Cryptoparties, etc. zu „schulen“, daß eine sichere Kommunikation noch lange nicht so benutzerfreundlich ist, wie man es haben wollte. Pretty Easy Privacy (pEp) ist ein Projekt, das den Versuch unternimmt, verschiedenste Kommunikationsformen (von Email über WhatsApp bis Facebook und SMS) zu verschlüsseln, und dabei so benutzerfreundlich wie irgendmöglich zu sein. Das Projekt läuft bereits seit über einem Jahr, nun bittet das Team um finanzielle Unterstützung auf indiegogo, um seine Ziele schneller zu erreichen.

Da ich mit dem Thema Logdateien-Analyse zu tun hatte, habe ich das als Anlaß genommen, mir mal den ELK-Stack (Elasticsearch, Logstash, Kibana) anzusehen. Das ganze ist zwar zum zentralisierten Sammeln von Systemlogs gedacht, läßt sich aber auch zum Analysieren bestehender Logfiles nutzen. Als „Fingerübung“ diente die Fragestellung: Woher kommen denn die Leute, die regelmäßig von denyhosts in meinen Logdateien verewigt werden? ;-)

Nun sind also alle Informationen verfügbar: Der Talk ist gehalten und auch schon bei Youtube verfügbar, und auch die Folien sind online. Was wurde gezeigt, und in wieweit deckt sich das mit den Vorab-Infos?

Vor zwei Jahren hatte ich mich projektbedingt mit diesem Thema beschäftigen dürfen – umso neugieriger war ich auf den Mitschnitt dieses Vortags. tl;dr: Anschau-Empfehlung für alle, die irgendwie etwas mit SSL und Performance-Themen zu tun haben (insbesondere Webmaster), eine sehr schöne Zusammenfassung der verschiedenen Aspekte.

Seit zwei Tagen machen Schlagzeilen wie „The Security of USB is fundamentally broken“ die Runde. Der Hintergrund: Für die diesjährige Blackhat wurde von Forschern ein Talk unter dem Titel „Turning USB peripherals into BadUSB“ eingereicht. Mit modifizierter Firmware versucht das präparierte USB-Gerät, den Rechner anzugreifen. Solche Ideen sind nicht gänzlich neu, ich versuche mal, Hintergründe und bekannte Fakten über den kommenden Talk zusammenzutragen.

Letzte Woche fand das alljährliche Javaforum statt – ein Pflichtbesuch für Javaentwickler im Großraum Stuttgart, mit über 1600 Leuten eine der größeren und einflußreicheren Veranstaltungen. Besonders schön: Ich war eingeladen, einen der Vorträge zu halten. Kurz zusammengefaßt war’s schön wie immer, allerdings hatte ich den Eindruck, daß dieses Jahr technischere Talks etwas zu kurz kamen (vielleicht hatte ich aber auch nur Pech mit meiner Auswahl der Talks). Im folgenden eine kurzer Abriß über die von mir besuchten Vorträge:

Mit dem Erscheinen von Gradle 2.0 gibt es ein zentrales Plugin-Repository, über das das Einbinden von Dritt-Plugins sehr angenehm wird. Höchste Zeit also, den Submission-Drill durchzuexerzieren und das Plugin im Grails Plugin-Repository bereitzustellen!

Da die Scaladays dieses Jahr in Berlin stattfanden, war dies meine erste Gelegenheit, eine reine Scala-Konferenz zu besuchen. Die Scaladays fanden heuer zum fünften Mal statt und waren mit über 800 Besuchern die größte Veranstaltung bisher. Limit war letztendlich der Veranstaltungsort, die Tickets waren einige Wochen vor der Konferenz bereits komplett ausgebucht.

Ich war – vergeblich – auf der Suche nach etwas Beispielcode, wie man ein Datenset sowohl als Tabelle (gepimpt mit DataTables) als auch als Kurve mit D3.js darstellen kann. Ich wollte die Daten nicht in zwei unterschiedlichen Formaten exportieren, das spart zum einen Code und zum anderen Ladezeit (die Daten müssen nur einmal geladen und können anschließend gecached werden). Da meine Suche erfolglos blieb, habe ich mich selbst um eine Lösung bemüht, und damit spätere Suchende fündig werden, verwegige ich sie hier :-)

Mein altgedientes Galaxy S2 scheint den Alterstod zu sterben. Vor längerer Zeit habe ich ein HTC Butterfly in die Finger bekommen; damals habe ich den Aufwand des Umstiegs gescheut, da nach dem Rooten plötzlich die HTC-Over-the-air-Updates nicht mehr eingespielt werden konnte. Nun wollte ich einen neuen Versuch wagen, der mich letztendlich mindestens fünf schlaflose Nächte gekostet hat. Ich behaupte mal ganz steil, daß ein größerer Teil nicht auf meine mangelhafte Recherche, sondern einige häßliche Überraschungen zurückzuführen ist. Damit es anderen HTC-Usern (dürfte für so ziemlich alle aktuellen HTC-Modelle gelten) nicht ebenso geht, schreibe ich die Geschichte hier einmal auf.

Erst Apples goto-fail-Bug, dann der Zertifikats-Bug in GnuTLS, und jetzt der Heartbleed-Bug in OpenSSL – in den letzten Wochen hat faktisch jede SSL-Implementierung ihr Fett wegbekommen. Die Schwere der Fehler sind obendrein in aufsteigender Reihenfolge: Sorgten die ersten beiden „nur“ dafür, daß Zertifikate fälschlicherweise als gültig anerkannt wurden, erlaubt Heartbleed es, Speicherbereiche auszulesen.

Diese Woche gab das „Javaland“ seinen Einstand – der erste Durchlauf der Konferenz fand auf dem Gelände des Phantasialands statt. Ich war sehr neugierig auf Leute, Vortragsniveau, und wie sich die Konferenz im Vergleich zur JAX platzieren würde. Insgesamt 800 Teilnehmer kamen zur Premiere, das Vortragsprogramm wurde aus über 400 Einreichungen ausgewählt.

Die Woche ist erst wenige Stunden alt, aber ich wage zu behaupten, dass ich guten Gewissens diese Slashdot-Meldung als Bullshit der Woche bezeichnen kann. Es sind auf PGP-Keyservern offenbar falsche Schlüssel für Entwickler an Tor und Bitcoin aufgetaucht. Die Schlüssel werden von den Entwicklern zum Signieren ihrer Code-Releases genutzt. Der Artikel spekuliert, daß Nachrichtendienste versuchen könnten, auf diese Weise manipulierten Code unter die Leute zu bringen – und daß ein Wechsel von PGP auf x509 eine probate Gegenmaßnahme wäre. Was für ein unglaublicher Bullshit!

Ein lästiges Problem: Einerseits muss man die Versionsnummern in seinem Quelltext oder im Buildsystem pflegen, auf der anderen Seite sollte man nicht vergessen, beim Hochzählen der Versionsnummer auch einen entsprechenden Tag in der Versionskontrolle zu setzen. Mein bevorzugtes Build-System für Java (und andere JVM-Sprachen) ist Gradle, die ultimative Versionskontrolle ist sowieso git :-) Da Gradle mit eigenen Plugins erweiterbar ist, lag es nahe, hier etwas entsprechenden Code zu bauen – das Ergebnis ist hier auf github.

Mein Geschäft hat mir neues Werkzeug zur Verfügung gestellt: Ein frischer Laptop, zeitgemäß mit einer SSD ausgestattet. Natürlich möchte ich meine Daten nicht nur „einfach so“ ablegen, sondern angemessen gegen den Fall eines Verlusts sichern. Nach kurzem Zögern entschied ich mich für eine Neuinstallation mit komplett verschlüsstelen Partitionen.

Hostet man auf einem Webserver mehrere vhosts, die über SSL erreichbar sein sollen, hat man drei Möglichkeiten, dies einzurichten:

Ich war ja sehr glücklich mit Astrid, der Todo-App für Android. Nach dem Kauf von Astrid durch Yahoo gab es zwar nach wie vor den Quelltext auf github, aber ohne die Weboberfläche habe ich meine Todos nach kurzer Zeit nicht mehr gepflegt. Der Fork Tasquid ist leider auch nicht in die Gänge gekommen, weshalb ich auf der Suche nach einer Alternative war. todo.txt schien mir eine probate Lösung zu sein, allerdings muß ich nach einem halben Jahr sagen, daß es für mich nicht gezündet hat: Das Killerargument waren die fehlenden Deadlines.

Der Jetlag hat sich massiv einige Tage gehalten – woah, was für ein Congress! Lichtinstallationen, wohin das Auge fällt, ein Rohrpostsystem, durch das beleuchtete Kapseln wie die Bits bei Tron flitzten, ein Bar-Roboter, Quadcopter, undundund… nicht zu vergessen: Riesige Vortragsräume mit spannenden Talks. Ein paar Talks habe ich vor Ort gesehen, eine lange Liste wartet fertig heruntergeladen darauf, endlich gesichtet zu werden. Einige Talks sind mir besonders in Erinnerung geblieben, sozusagen meine (Stand heute) „must see“-Liste.