Und wieder hat es jemand geschafft diese Seite erfolgreich aufzurufen. Ob nun freiwillig oder nicht, sei einmal dahin gestellt. Sofern es sich bei dir nicht um einen Crawler handelt, heiße ich dich herzlich willkommen auf meiner Seite und in meinem Reich. Normal halte ich nicht viel davon, sich in einer solch "freien" Welt zu entblößen... doch ist der Druck der Gesellschaft, man bräuchte heutzutage doch einen Blog, schier unendlich. Ja ja, ohne Blog und Web2.0, wer ist man denn da? So sehe nun auch mich gezwungen, der allgemeinen Akzeptanz, gelegentlich einige Zeilen aufs digitale Papier zu schmeissen. Ich darf euch jedoch warnen: Auf www.happy-security.de erhaltet ihr weitaus lohnenswerte Informationen :)

» Post bringt Briefgeheimnis ins Internet (0 Kommentare) 16.07.2010 - 22:34 Uhr

Und schon sind die Geheimnisse per Knopfdruck abrufbar. Aber ist es wirklich so gefährlich? Im Grunde ist es doch genau das, was wir eigentlich wollten. Der Absender wird stärker authentisiert und die Übermittlung läuft hauptsächlich doch sogar verschlüsselt ab. Die zweifelhafte Sache hierbei ist der Zugriff der deutschen Post auf Inhalte der Briefe. Es ist ja nicht so, dass wir nicht die Möglichkeit hätten, selbst unsere Privatsphäre von unberechtigten Dritten zu schützen. PGP-Verschlüsselung mit einer so ausreichenden Verifizierung auszustatten, dass diese sogar für Behörden und andere Staatliche Anstalten annehmbar wäre, schien doch auch keine schlechte Idee zu sein. Doch wo ist das Problem?

Solange niemand die Gefahren, die durch einen halbprivaten Dienstleister kommen, vor Augen geführt bekommt, so lange schreit auch niemand laut genug auf. 55 Cent pro E-Mail für eine Dienstleistung, die nach einer einmaligen Registrierung eigentlich nicht mehr erbracht wird. Maximal die monatlichen Serverkosten müssen eingeholt werden; und diese werden, sofern nicht von irgendwelchen Marketing-Fuzzies hochgerechnet, auch nicht wirklich überhöht ausfallen. Besonders interessant ist, dass der Ausdruck mit Zustellung durch einen humanoiden Briefzusteller, genauso teuer ist, als würde dieser auf dem elektronischen Weg zugestellt werden.

Ich persönlich habe die schwammige Vorahnung, dass wir in 3-4 Jahren diverse Anfragen oder gar unbedeutende Formularübersendungen generell nur noch mittels verfizifierter de-Mail/ePost-Brief-Sendung an Ämter schicken dürfen. Oder anders gesagt: Verifizierte Absender erhalten eine schnellere Bearbeitung und Anfragen über "normale" E-Mail-Adressen landen erstmal auf dem großen Stapel mit den unzähligen Anderen. Sei es aus Angst Ihre Privatsphäre zu verlieren oder einfach nicht einsehend für so etwas Geld zum Fenster hinauszuwerfen.

Was ist eure Meinung zu dieser Sache?
Habt ihr vor, diesen Dienst in Anspruch zu nehmen?

» Error Reporting @PHP (0 Kommentare) 14.02.2010 - 09:55 Uhr

Derzeit arbeite ich verstärkt an einem neuen Release der Internetseite www.happy-security.de und schreibe den kompletten Code auf OOP um. Dies kosten viel Zeit, hilft jedoch später neue Module einzupflegen und kleine Änderungen systemweit durchführen zu können.

Hierbei kann man natürlich auch neue Erkenntnisse in die Entwicklung mit einbringen, die man mal nebenbei aufgeschnappt hat. Hatte eine foreach() Struktur z.B. früher keinen Durchlauf machen können, weil das Array leer war, gab es eine Fehlermeldung. Diese kann leicht mit dem @-Operator vor der Funktion unterdrückt werden.

@foreach($liste AS $item) {
echo $item;
}

Dies ist jedoch durch die Arbeitsweise des @-Operators ein ziemlich lahmes Unterfangen. Der Preprocessor wandelt diesen obigen Code nämlich in folgendes Gebilde um:

$rep_status = ini_set('error_reporting',0);
foreach($liste AS $item) {
echo $item;
}
ini_set('error_reporting',$rep_status);

Wie man hier sieht, wird jedes mal, wenn der @-Operator eingesetzt wird, mittels ini_set die eigentlich globale Einstellung angepasst und nach der Funktion wieder zurückgesetzt. Wenn man sein Script in einem Produktivsystem laufen lässt, sollte man daher also lieber am Anfang des Script das error_reporting auf 0 setzen oder in der php.ini abändern, anstatt auf den @-Operator zurückzugreifen.

Dies bringt zwar nun einen kleinen Performance-Schub, aber Kleinvieh macht ja bekanntlich auch Mist. Ihre Hardware-Resourcen werden es Ihnen danken ;)

» Japanese Language Test Level 3 in Berlin (0 Kommentare) 08.12.2009 - 01:12 Uhr

Gestern fanden in Berlin die offiziellen JLPT ( Japanese Language Proficiency Tests ) statt und ich war mir einem Teil meines Japanisch-Kurses dort. Die Anmeldung sowie der Ablauf sind auch dieses Jahr ziemlich strikt gewesen. Dieses mal habe ich Level 3 teilgenommen, bin jedoch ziemlich sicher dass es eher eine nette Sightseeing-Tour nach Berlin war, als die Teilnahme am Test... den diesen werden ich vermutlich ziemlich übel verpeilt haben.

ぜんぶ しまった q_q

Es fehlten mir einfach zu viele Vokabeln, wo ich eigentlich sehr sicher war bei den Übungen vorher. Durch die Schwierigkeiten beim Verständnis der Texte und dem langen Überlegen einer plausiblen Übersetzung, war es schwer komplett bis zur letzten Aufgabe durchzuziehen. Aber nunja: Es gibt immer noch eine 30% Chance auch ohne zu lernen, zu bestehen :)

» Praktischer Einstieg zu verschlüsselten E­Mails (0 Kommentare) 04.10.2009 - 15:50 Uhr

Vor 2 Jahren habe ich einmal ein Tutorial verfasst um Bekannten in meiner Umgebung und den Besuchern auf happy-security hackits die Möglichkeit zu geben, Ihren E-Mail-Verkehr mittels GnuPG zu verschlüsseln. Daraus wurde sodann gleich eine Challenge, die viele User dazu bewogen hat, sich die Sache mal genauer anzusehen.

Der Download des E-Papers befindet sich in unserer Digilib. Kurze Beschreibung: Schritt für Schritt soll anhand dieses Textes gezeigt werden, wie einfach es ist, GnuPG (zum verschlüsseln von E-Mails) mit Thunderbird einzurichten.

Dies zum Anlass genommen, habe ich auch gleich meinen Schlüssel für happy-soft.de mit 4096 Bit generiert. Dieser ist auf meiner Kontakt-Seite zu finden. Hier noch kurz der Fingerprint: BEDA C501 4F6A B5C0 A4E4 65E3 1788 2DE6 A9EE FD7F

» Verschlüsselung bei Mail-Kommunikation (0 Kommentare) 03.10.2009 - 02:07 Uhr

Nun ist mein MTA auch endlich mit TLS (Transport Layer Security), dem Quasi-Nachfolger von SSL, ausgestattet und baut die Verbindung mit meinem Mail-Client mittels Zertifikaten auf. Um anderen einige Quälerei beim Suchen zu ersparen, hier einmal kurz niedergeschrieben:

Zunächst wird ein Postfix-Server benötigt. Dieser kann ganz einfach mittels apt-get unter Debian wie gewohnt installiert werden. Dann gehen wir schnell in die Hauptkonfiguration von Postfix und ändern den SMTP-Banner (Ja, ich weiß... Security by obscurity, aber schnell und hilfreich).

[Datei: /etc/postfix/main.conf]

smtpd_banner = Mein toller Mailserver XP

zusätzlich müssen wir noch einen Pfad für unsere Zertifikate abändern.
[Datei: /etc/postfix/main.conf]

smtpd_use_tls = yes
smtpd_tls_cert_file = /etc/postfix/sasl/smtpd.cert
smtpd_tls_key_file = /etc/postfix/sasl/smtpd.key

Nun wandern wir ins Verzeichnis /etc/postfix/sasl/ und generieren mit openssl ein ordentliches RSA-Zertifikat mit sämtlichen Angaben und Lebensdauer. Hier sind, wie immer bei Zertifikaten, mindestens 2048 Bit zu wählen.

openssl req -new -outform PEM -out smtpd.cert -newkey rsa:2048 -nodes -keyout smtpd.key -keyform PEM -days 365 -x509

Generating a 2048 bit RSA private key
.................+++
...................+++
writing new private key to 'smtpd.key'
-----

Country Name (2 letter code) [AU]:DE
Locality Name (eg, city) []:Heimatstadt
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Webseite/Firma
Organizational Unit Name (eg, section) []:Abteilung
Common Name (eg, YOUR name) []:deinNameOderFirma
Email Address []:KontaktMail

Das war es eigentlich auch schon. Nun reicht es, Postfix einmal neuzustarten und schon kann die Kommunikation beginnen. Zur Info um den Support von TLS zu testen: Einfach mal mit telnet auf Port 25 verbinden und die Funktionen abrufen.

telnet mail.meinserv.er 25
ehlo test
250-mail.meinserv.er
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
...

[A R C H I V]