Computer

0

Dieses Jahr war ich ja, wie einigen meiner Leser sicher aufgefallen sein dürfte, nicht auf dem Chaos Communication Congress. Trotzdem habe ich natürlich die Berichterstattung über den Congress soweit es ging verfolgt und inzwischen auch angefangen die Videoaufzeichnungen zu gucken.
Wie mir von einigen Leuten berichtet wurde, war ein Highlight des vergangenen Congresses ein Vortrag über Bittorrent mit dem Titel: Tracker fahrn. Den hab ich mir natürlich inzwischen auch angeschaut und er ist echt sehr spaßig gemacht.
Jedenfalls kam ich durch den Vortrag dazu mich mal ein wenig mit Bittorrent auseinanderzusetzen. Ich hatte Bittorrent natürlich in der Vergangenheit schon benutzt, allerdings nur um Daten runterzuladen und nicht um welche zu verteilen. Genau das hab ich nun mal ausprobiert und ich muss sagen ich bin begeistert. Das ist ja eine super einfache Sache. Ich glaube wenn ich in Zukunft mal größere Dateien zum verteilen habe werde ich das nicht via FTP, sondern via Bittorrent machen.
Meine diesjährige Endeckung auf dem Congress, obwohl ich nicht dort war, ist also Bittorrent. Letztes Jahr war es TOR. Davon hatte ich zwar auch schon vorher gehört aber so richtig nutzen tat ich es erst nach dem Congress.

0

Entweder ich übersehe grade einen wichtigen Punkt oder pam-mysql und MySQL selbst bieten keinen sinnvollen Hashing-Algorithmus für Passwörter. Aber zum eigentlichen Thema:

Die Informationen zu den E-Mail-Adressen und FTP-Accounts auf diesem Server befinden sich in einer MySQL-Datenbank. Unter anderem auch die gehashten Passwörter. Auf diese Informationen wird beispielsweise via pam-mysql zugegriffen. pam-mysql in Debian bietet zum Hashing der Passwörter drei Möglichkeiten. crypt(), md5 und die MySQl password()-Funktion.
Doch alle drei haben schwerwiegende Nachteile: crypt() weil es nur die ersten acht Zeichen der zu hashenden Zeichenkette beachtet, md5 weil der Algorithmus inzwischen gebrochen wurde und zu password() steht im MySQL-Manual ausdrücklich: “The PASSWORD() function is used by the authentication system in MySQL Server; you should not use it in your own applications.“.

Also alles irgendwie keine sinnvollen Möglichkeiten. Die neuste Upstreamversion von libpam-mysql unterstützt auch sha1, wobei dieses ja auch mehr oder weniger gebrochen ist.
Ich persönlich würde mir eher sowas wie sha512 + salt wünschen. Aber das unterstützt MySQL nicht und somit auch nicht pam-mysql.

Kennt da jemand irgendeine tolle Möglichkeit dieses Problem zu umgehen oder muss man zwangsläufig damit leben?

Update: Ich sehe grade, dass MySQL6 das Erzeugen von Hashs der SHA2-Famile ermöglichen wird. Das ist ja immerhin schon mal etwas. Fehlt nur noch das Salt.

0

Vor über einem Jahr war ich auf der Suche nach einem netten Content Management System zur Realisierung einer Homepage. Dabei stieß ich auf Drupal, dessen Konzept mir auf Anhieb recht gut zusagte. Als ich mich damit beschäftigte merkte ich allerdings schnell, dass Drupal zwar toll ist, aber einen in meinen Augen immens hohen Einarbeitungsaufwand erfordert. Ich beschäftigte mich dann eine Weile damit, aber irgendwie blieb es mit der Zeit liegen, bis ich vor circa zwei Monaten anfing eine Bandhomepage für einen Kumpel mit Drupal zu entwickeln. Ich konnte auf ein paar Vorarbeiten von vor einem Jahr zurückgreifen, musste aber noch etliches selbst machen. Seit Weihnachten ist die Homepage nun online und ich bin recht zufrieden. Natürlich ist sie nicht perfekt und es fehlen auch noch ein paar Sachen, aber ich finde sie ist recht gut geworden.
Zu Drupal kann ich noch sagen, dass ich es toll fände Konzepte wie CCK und Views noch tiefer im Kern verankert zu sehen. Denn das sind echt coole Techniken.
Mal schauen, vielleicht werde ich in Zukunft auch noch die ein oder andere Seite mit Drupal realisieren, denn das ist eine echt gute Grundlage.

Natürlich will ich euch auch nicht den Link oben erwähnter Seite vorenthalten. Er lautet: http://www.beats-of-loner.de/.

1

Das Sat1 eine eigene Interpretation von “The IT-Crowd” dreht war ja nun schon länger bekannt. Als ich eben allerdings den Anfang der ersten Folge von “Das iTeam – Die Jungs an der Maus” sah, drehte sich mir fast der Magen um. Das ist ja eine billige eins-zu-eins-Kopie. Wobei billig noch geschmeichelt ist. Wer die echten IT-Crowd-Folgen kennt wird verstehen was ich meine. Ich hatte wenigstens gehofft dass Sat1 noch eine etwas andere Handlung verwendet, aber nein: Die kopiert mal lieber auch gleich mal eins zu eins.
Das Orginal ist eine der besten Serien die ich kenne. Die deutsche Version von Sat1 dagegen konnte ich mir nicht mal fünf Minuten lang antun. Wenn man unbedingt ein deutschsprachiges IT-Crowd haben möchte hätte eine Synchronisation des englischen Orginals vollkommen gereicht und wäre dabei sicher auch von den Produktionskosten billiger geworden.
Also mein Aufruf an alle Leser: Guckt das englische Orginal und macht einen weiten Bogen um die grottenschlechte deutsche Nachmache.

[via: adminlife.net]

0

Wie schon vor ein paar Wochen angedeutet wünschte ich mir dieses Jahr zu Weihnachten ein Bluetooth-Headset. Hauptsächlich um nicht mehr so viel Kabelwirrwarr beim Fahrrad fahren und verreisen zu haben. Im Endeffekt wurde es ein Jabra BT 620s, was ich nun auch zu Weihnachten geschenkt bekam.
Soeben hab ich nun den ersten Test hinter mir und ich muss sagen ich bin recht zufrieden. Das Headset sitzt recht bequem (genaueres dazu werde ich wohl erst nach längerem tragen sagen können), auch wenn der Bügel sehr kurz erscheint was beim aufsetzen ein wenig hinderlich ist. Pairing mit meinem Handy (SE K800i) funktionierte ohne Probleme, sowohl mit A2DP (Musikwiedergabe) als auch im Headset-Modus. Die Musikqualität ist vollkommen in Ordnung, da gibt es nichts zu meckern. Auch die Tasten des Headsets zum steuern des Mediaplayers funktionieren. Die Funkreichweite ist auch vollkommen ausreichend. Meinen Schätzungen zufolge bei Sichtkontakt fünf bis zehn Meter. Mehr sollte man im Normalfall ja auch nicht brauchen.
Auf der anderen Seite gibt es natürlich auch Sachen, die weniger schön sind. Das ist einerseits die Tatsache, dass das Headset bei einer Lautstärkeänderung einen Quittierungston von sich gibt. Das alleine wäre ja noch nicht schlimm, aber für die Dauer des Tones wird das aktuelle Musikstück pausiert, was schon etwas gewöhnungsbedürftig ist. Das Zweite was mich bisher ein wenig stört ist, dass die Mindestlautstärke des Headsets für meinen Geschmack ein klein wenig zu hoch angesetzt ist. Ich fände es besser wenn man da noch ein wenig nach unten regeln könnte. Aber wenn man es an der frischen Luft nutzt, wo sowieso genügend Umgebungsgeräusche zu hören sind, sollte das auch keine Rolle spielen.
Im Großen und Ganzen bin ich also sehr zufrieden. Nun muss sich zeigen wie sich das Headset in der Praxis schlägt. Und ich muss es noch irgendwie an meinem Laptop zum laufen kriegen. 😉

3

Heute Nachmittag fand in den Räumlichkeiten der Stadtgalerie Karlsruhe im Rahmen des “Tag des Informationsrechts” eine Diskussionsrunde mit dem Titel “Online-Durchsuchungen – Schutz durch und vor dem Staat unter Wahrung der Balance von Sicherheit und Freiheit?” statt. Veranstaltet wurde diese vom Zentrum für angewandte Rechtswissenschaft (ZAR) in Kooperation mit dem Junge Juristen Karlsruhe e.V. und der Stadt Karlsruhe.
Als Podiumsgäste waren etliche Experten geladen, unter anderem bekannte Größen aus der Politik:

Peter Schaar konnte leider nicht kommen. Seinen Platz nahm Wolfgang von Pommer Esche, sein Referatsleiter, ein.
Eine Teilnahme an dieser Diskussion als Zuhörer war nur nach vorheriger Anmeldung, für “Fachpublikum aus Recht, Politik und Gesellschaft”, möglich. Ich war einfach so frei mich dort anzumelden.
Als ich heute dort ankam wurde mir sehr schnell klar, dass tatsächlich nahezu ausschließlich Fachpublikum anwesend war. Ich war einer der wenigen Teilnehmer ohne Anzug und vermutlich auch der Jüngste. Insgesamt waren es knapp hundert Teilnehmer und laut Moderation befanden sich darunter zahlreiche Politiker (u.a. Ingo Wellenreuther), Bundesanwälte, Richter am BVG und BGH, usw.. Dementsprechend war das Durchschnittsalter auch vergleichsweise hoch, von jungen Juristen war da nicht allzuviel zu sehen (zumindest wenn man jung als unter 30 Jahre definiert).

Doch nun zur eigentlichen Diskussionsrunde. Es wurde gleich zu Beginn noch einmal darauf hingedeutet, dass es hauptsächlich um die juristischen Fragen bei diesem Thema gehen solle und nicht um die gesellschaftlichen. Was bei einer von Juristen organisierten Veranstaltung ja kaum verwunderlich ist.
Nach kurzen Grußworten von Prof. Thomas Dreier (ZAR) und Ullrich Eidenmüller (Karlsruher Bürgermeister für Planen und Bauen sowie Kultur und Gesundheit) bekam jeder der Podiumsgäste die Möglichkeit seinen Standpunkt zum Thema Online-Durchsuchung darzulegen, bevor dann in die eigentliche Diskussion eingestiegen wurde. Ich hatte mich im Vorfeld auf die gegensätzlichen Standpunkte von Peter Schaar und Jörg Ziercke und die daraus entstehenden Diskussionen gefreut. Da Ersterer ja nun nicht anwesend war, wurde daraus leider nichts. Allerdings war es im Endeffekt Gerhart Baum, der den Gegenpart zu Jörg Ziercke darstellte.
Schon recht frühzeitig musste in der Diskussion geklärt werden, dass Online-Durchsuchung eigentlich ein vollkommen unzutreffender Begriff ist, da es nicht nur um eine Durchsuchung, sondern auch um eine Überwachung geht.

Ich will hier nicht auf sämtliche geäußerten Standpunkte eingehen. Vieles ist auch aus den bisherigen Diskussionen in der Öffentlichkeit bekannt. Ein paar interessante Gedanken und Standpunkte möchte ich allerdings doch ausführen.
Es herrschste unter allen Teilnehmern der Konsens, dass die Polizei bei einer Weiterentwicklung der Technik zunehmend ins Hintertreffen gerate und deshalb irgendetwas dagegen unternommen werden müsse. Bei der Frage was sie denn tun solle gingen die Meinungen allerdings stark auseinander. Jörg Ziercke war natürlich für die Online-Durchsuchung und sagt ausdrücklich “für Terrorismussbekämpfung und schwerste Straftaten”. Man dürfe keine rechtsfreien Räume schaffen und eine Online-Durchsuchung sei vom Prinzip ja auch nicht viel anders als bisherige Maßnahmen wie zum Beispiel Telefonüberwachung die ja auch im Verdeckten stattfinden würden. Unterstützt wurde er bei dieser Meinung durch Dr. Jürgen-Peter Graf, der eine sehr ähnliche Meinung vertrat.
Hansjörg Geiger hatte nach eigener Aussage noch keinerlei feste Meinung zur Online-Durchsuchung, befürwortet aber prinzipiell die Idee, wenn bestimmte Regelungen zum Schutze der Bürger eingehalten werden. Daraus resultierte auch sein Vorschlag bei verdeckten Maßnahmen einen Anwalt einzusetzen der den Betroffenen ohne dessen Wissen vertritt. Eine sehr vernünftige Sache wie ich finde, auch wenn da noch einige nicht ganz unproblematische Sachen abgeklärt werden müssten.
Komplett gegen die Online-Durchsuchung waren dann die restlichen Teilnehmer, wenn auch aus teilweise unterschiedlichen Gründen.
Gerhart Baum ging es in meinen Augen hauptsächlich um den Schutz der Privatsphäre und die Konformität gegenüber dem Grundgesetz, Wolfgang von Pommer Esche um die datenschutzrechtlichen Problematiken und Dirk Fox um die technische Realisierbarkeit. Dirk Fox führte beispielsweise aus, dass es auch für Leute die keine Computerprofis sind, kein Problem sei sich vor einem “Bundestrojaner” oder einer Überwachung des eigenen Computers zu schützen. So reiche allein die Benutzung einer Live-CD aus um sicherzustellen das keinerlei unerwünschte Software auf dem eigenen Computer installiert ist. Auch das einschleusen von Schadsoftware über das Internet bezeichnete Fox als “nahezu unmöglich”, da man einer IP ja nur mit einer gewissen Wahrscheinlichkeit eine Person zuordnen kann. Und selbst wenn man es können würde wäre ja noch längst nicht geklärt ob diese Person den Computer auch nur alleine nutzen würde usw..
Jörg Ziercke schaltete sich dabei mit dem Kommentar ein, dass andere Staaten das sehr wohl können würden und warum das denn dann in Deutschland nicht gehen sollte? Ich möchte ja gar nicht wissen wie irgendwelche anderen Staaten sowas angeblich machen, aber ich bin auf jeden Fall der Meinung von Dirk Fox, dass es nicht möglich ist über das Internet zu beweisen das man die IP des richtigen Rechners erwischt hat. Denn dies geht logischerweise nur nach dem eindringen in den Rechner. Was aber einschließt das man unter Umständen auch vollkommen unverdächtige Personen erwischt, was ja so nicht zulässig ist.

Sehr interessant fand ich die Reaktion von Jörg Ziercke auf die Abwehrmaßnahmen die man als Computernutzer gegen solche Maßnahmen treffen kann. Er bestritt nicht einmal, dass ein aufmerksamer Computernutzer der Online-Durchsuchung entgehen kann, sondern wies darauf hin, dass es in terroristischen Netzwerken und bei organisierter Kriminalität eben auch Leute gibt die unachtsam genug sind und eine solche offene Stelle reiche um an die entsprechenden Informationen zu kommen. Diese Aussage fand ich dann doch mal sehr bemerkenswert.

Ein weiteres Argument zum Thema Privatsphäre fand ich ebenfalls sehr interessant. So wurde im Verlaufe der Diskussion geäußert, dass der Kernbereich der privaten Lebensführung auf einem Computer ja nicht nur bei einer möglichen Online-Durchsuchung, sondern auch bei einer Beschlagnahmung eines Computers betroffen sei. Dies sehe ich genauso. Allerdings ist dies für mich kein Argument für die Online-Durchsuchung, sondern eher gegen das Recht Festplatten durchsuchen zu dürfen.

Ja, man könnte jetzt inhaltlich noch viel mehr schreiben, allerdings hab ich einen Teil auch schon wieder vergessen. Eine Videoaufzeichnung gab’s leider nicht, ob die Tonaufnahmen mitgeschnitten wurden weiß ich nicht. Allerdings schienen einige Journalisten anwesend zu sein, sodass man vielleicht in den kommenden Tagen noch in diversen Zeitungen was dazu lesen können wird.
Ich fand es auf jeden Fall recht interessant, auch wenn die angesetzten drei Stunden viel zu kurz waren. Man hätte bedeutend länger diskutieren können. Positiv überrascht war ich von Gerhart Baum, den ich bisher nur einmal bewusst bei einer Talkrunde mit Anne Will wahrgenommen hatte. Er scheint sich sehr für die Grundrechte einzusetzen und das finde ich gut. Gerade von einem ehemaligen Bundesinnenminister. Außer ihm hatte Jörg Ziercke das meiste Profil. Wobei mir dessen Art nicht wirklich zusagt. Man merkt viel zu oft das er mit technischen Argumenten argumentiert, von denen er eigentlich nichts versteht. Und warum muss man denn unbedingt immer einem Sicherheitsexperten widersprechen?
Die anderen Podiumsgäste vertraten ihre Standpunkte hingegen vernünftig. Vor allem war ich bei den Befürwortern über die teils sehr vernünftigen Argumente überrascht. Aber natürlich werde ich auch weiterhin ein Gegner der Online-Durchsuchung sein.

0

Also ich weiß zwar nicht warum, aber ich weiß auf jeden Fall das Opera 9.0 irgendwelche Probleme hat. Zumindest sagen mir das meine Serverlogs. Ich habe einen Server mit einer IP und mehreren Domains. Für alle habe ich getrennte Access-Logs. Beim durchschauen des Accesslogs für die direkte IP fiel mir nun auf, dass dort Zugriffe verzeichnet sind, die ich anhand der Parameter eindeutig einer der Domains zuordnen kann. Sie haben also bei der IP nichts zu suchen. Ich weiß ebenso, dass es keinerlei falsche Zieladresse ist, bei der statt der Domain bei einem Link einfach die IP steht. Dafür kommen die Zugriffe von zu vielen verschiedenen Unterseiten von verschiedenen Domains.
Und wie schon erwähnt scheint der einzige Client der das macht Opera 9.0 zu sein. Na ja, im Endeffekt kann’s mir egal sein. Es passiert ja nicht viel mehr als das mein Server solche Anfragen mit einem 417er HTTP-Statuscode beantwortet.

0

Heute will ich mal ein bisschen lästern. Aber alle potenziellen Leser können beruhigt sein, denn ich habe nicht vor über konkrete Personen zu lästern. Genauergesagt will ich über gewisse Linuxdistributionen lästern. Und zwar über die aus der Red Hat-Ecke. Als Beispiel nehme ich Fedora und CentOS, da ich beide vor kurzem benutzt habe, aber bei Redhat Enterprise Linux (RHEL) ist die Problematik natürlich die gleiche. Und zwar will ich über das Paketmanagement lästern. Es kann durchaus auch sein, dass ich einfach nur aus Unwissen lästere, aber ich bin froh über jeden Wissenszuwachs. Wer also Ergänzungen zu meinen Ausführungen hat, den bitte ich diese doch in den Kommentaren niederzuschreiben.
Also, Thema Paketmanagement: Ich bin ja nun eher der Debianer. Und unter Debian ist alles ganz toll. Das Paketmanagement dpkg ist sehr ausgereift und es gibt sehr komfortable Tools zur Installation und zum Management von Software. Natürlich gibt es grafische Tools, doch ich ziehe ein Kommandozeilentool wie aptitude vor, da ich es durch die Keyboardnavigation bedeutend komfortabler als irgendwelche grafischen Tools finde. Aber das ist Geschmackssache. Bis auf den Fall wenn man ohne grafische Oberfläche dasitzt. Beispielsweise bei Servern oder weil, aus welchem Grund auch immer, keine grafische Oberfläche mehr starten will.
Im Rahmen meines Hiwi-Jobs arbeitete ich bisher mit Fedora 7. Dort konnte ich kein auch nur ansatzweise komfortables Kommandozeilentool finden, was vor allem dann unpraktisch ist wenn ein Sicherheitsupdate das grafische Tool names pirut unbrauchbar macht, wie mir vor kurzem passiert ist (glücklicherweise behob ein weiteres Update ein paar Tage später das Problem wieder). Da bleibt dann nur sowas unkomfortables wie yum übrig. Heute dann der nächste Knaller. Mein Rechner hing grade nicht am Internet und ich wollte pirut starten. Ging nicht, da kein Internet verfügbar. Das einzige was ich machen konnte war pirut gewaltsam zu beenden.
Was mich an pirut auch ziemlich stört ist das man Abhängigkeiten von Paketen nicht vernünftig angezeigt bekommt. Erst nachdem man Pakete zur Installation ausgewählt hat und auf “weiter” klickt ist pirut der Meinung einem mitteilen zu müssen dass es gerne noch dieses und jenes Paket installieren wolle.
Was soll so ein Schrott? Und wie administriert man vernünftig einen Server der mit einer RPM-basierten Linuxdistribution läuft? Hab ich da vielleicht irgendein Tool übersehen?
Wie dem auch sei. Ich finde es einfach nur peinlich was da an Paketmanagement-Werkzeugen mitgeliefert wird. Als Konsequenz wird morgen auf meinem neuen Arbeitsrechner (den ich heute gekriegt habe), erstmal Debian installiert. \o/

2

Ich muss heute unbedingt mal meinen ISP 1&1 loben. Und zwar genauergesagt den Support von 1&1. Ich bekam vorgestern von 1&1 eine E-Mail aus der ich nicht schlau wurde. Also schrieb ich eine Mail an 1&1 um mir nochmal konkret erklären zu lassen was es mit dieser E-Mail auf sich hat. Innerhalb einer halben Stunde hatte ich eine Antwort, die nochmals eine Nachfrage bezüglich der E-Mail enthielt. Nachdem ich diese Nachfrage beantwortet hatte dauerte es nochmals lediglich circa 10 Minuten bis eine zufriedenstellende Antwort des Supports eintrudelte.
Gestern Abend bekam ich eine weitere E-Mail von 1&1 in der sie mich baten zur Verbesserung ihres Supports an einer kleinen Umfrage teilzunehmen, in der ich die Qualität des Supports aufgrund meiner Erfahrungen bewerten sollte.
Ich finde das irgendwie ziemlich klasse. Bisher teilte ich eher die Meinung das mit sinkenden Preisen für eine Leistung (in diesem Fall für den Internetzugang) auch die Qualität des Supportes sinkt, aber anscheinend ist dem nicht so. Und das 1&1 dann auch noch versucht mit solchen Umfragen einerseits den Support zu verbessern und andererseits den Supportern auch ein Feedback für ihre Arbeit zu geben finde ich ziemlich gut.
Natürlich bin ich nicht mit allem bei 1&1 so zufrieden wie momentan mit dem Support, aber auch dafür gab es Platz in der Umfrage. Ob sich daran was ändert ist natürlich eine andere Frage. 😉

Update: Noch was zu der Mail die ich ursprünglich zugestellt bekam: Die hatte 1&1 fälschlicherweise an mich verschickt. Dies hatte mir zwar schon der Supporter erklärt, aber soeben kam noch unabhängig davon eine extra Entschuldigungsemail von 1&1. Klasse Sache. Irgendwie bin ich von deren Kundenbetreuung gerade ziemlich begeistert.

2

Yesterday I tried kvm on my macbook, because I recognized that the cpu does support hardware based virtualization. I wanted to run a virtual machine with the actual kde4 release candidate. First I tried the Suse based KDE4Live, but kvm crashed immediately with “exception 13”. I dunno why that happened, but I didn’t get it working. Then I tried the debian based KDE4-LiveCD which is unfortunately only based on KDE4 beta4. But that cd worked. 🙂
I was just wondering if kvm is quite faster than qemu with kqemu, because it didn’t felt faster. I know that kvm does have a few advantages compared with kqemu, like smp and hardware visualization support, but I asked myself how much faster (or actually slower) would it be compared to kqemu.
So I set up a minimal Debian/testing installation in a qemu image. After that I tried in snapshot mode how long it would last to compile a new standard debian kernel once with kvm and once with kqemu.
But enough words are spoken. Let’s see the facts:
Test system:
1,83 Ghz Core Duo MacBook as host with kernel 2.6.22-1-686.
The VM got:
– 256 MB RAM
– 2.5GB HDD space

startup time:
kvm: 30 sec
kqemu: 42 sec

kernel compile time:
kvm: 1h 27min 57sec
kqemu: 2h 13min 17sec

All right. kvm is a lot faster than kqemu, so the reason that it feels not faster on my macbook seems to be the small amount of ram. So I need more ram for my macbook. 😉