In mindestens zwei Anwendungsfällen ist die geringe Laufzeit von Let’s Encrypt Zertifikaten lästig: Bei der Nutzung von HPKP (Public Key Pinning) und DANE. Beide Verfahren sollen HTTPS-Verbindungen zusätzlich absichern, indem genau spezifiziert wird, welche TLS-Zertifikate für eine Domain gültig sein sollen. Da mindestens alle 90 Tage ein anderes Let’s Encrypt -Zertifikat eingerichtet werden muss, müssen in diesem Zyklus auch die HPKP- und DANE-Einstellungen mehr oder weniger aufwendig aktualisiert werden.
Der Aufwand lässt sich jedoch mit einem Trick reduzieren: Da beide Verfahren auf der Untersuchung des Public Keys im öffentlichen Zertifikat beruhen, kann man dafür sorgen, dass sich dieser bei der Umstellung auf ein neues Zertifikat nichts ändert. Man verwendet daher bei der Beantragung eines neuen LE-Zertifikats also keinen neuen Private Key, sondern einen alten. (Der Public Key basiert auf dem Private Key). Um einen alten Key nutzen zu können, muss der Referenzclient von Let’s Encrypt im Zusammenspiel mit einem eigenen, gleich bleibenden Private Key und einer eigenen Zertifikatsanfrage (CSR) verwendet werden.
… versprochen. Glaubt ihr nicht? Na, dann habe ich da mal eben ein Beispiel für euch: http://www.heise.de/newsticker/meldung/CES-2016-Gluehbirne-hoert-mit-3056853.html. Wir haben ja jetzt schon massiv Probleme mit Smartphones, die keine Updates mehr bekommen, alten Rechner, die noch am Netz hängen, Industriesteuerungen, die nicht ausreichend abgesichert oder hoffnunglos veraltet sind, Videoüberwachung, die Spam verschickt und so weiter und so fort. Beispiele gibt es wie Sand am Meer.
Und jetzt bekommen Leuchtmittel ein Mikrofon und stellen eine Verbindung zu irgendeiner Cloud her, wo dann Geräusche und Sprache erkannt werden, um das Licht zu steuern?! Im Ernst?
Mir wird ja ganz schlecht von solchen Dingen. Nicht nur, weil ich Dingen misstraue, die Daten irgendwohin senden, sondern auch, weil es keine Möglichkeit gibt, diese Dinger sicher zu machen. Kaum verkauft, sind die Geräte offen wie Scheunentore. Und dann laufe ich am besten im Haus herum und update Leuchtmittel für Leuchtmittel? Hah! Nein! Natürlich nicht! Es glaubt doch nicht ernsthaft jemand, dass mich der Hersteller 10 Jahre lang mit Sicherheitsupdates für seine IoT Leuchtmittel versorgt!
Oh Mann. Leute, wir kriegen unsere Security ja jetzt schon nicht gebacken. Und dann streuen wir auch noch milliarden kleiner Computer in die Welt, die niemals sicher gehalten werden können?! Ich weiß nicht mehr, was ich dazu noch sagen soll.
Die meisten Webdienste, die eine Zwei-Faktor-Authentifizierung anbieten, unterstützen das TOTP (Time-based one time password) -Verfahren. Dabei bleiben die Codes nur eine gewisse Zeit lang gültig und ändern sich ständig. Zugriff auf die Codes bekommt man bei den Yubikeys nur über eine dritte Software, die mit dem Yubikey kommuniziert. Das liegt daran, dass der Yubikey keine eigenständige Code-Berechnung ausführen kann, weil ihm für eine eigene Systemuhr die notwendige Energieversorgung fehlt. Die Berechnung des Codes geschieht immer im Yubikey selbst – die geheimen Schlüssel verlassen also niemals den Yubikey. Die Clientprogramme liefern dem Yubikey nur die Systemzeit, holen die fertig generierten Einmalcodes ab und zeigen sie an. „Yubikey Authenticator“ heißt der TOTP Client für den Yubikey, den es für Android, Linux, Windows und MacOS gibt.
Mein Harman Kardon HKTS 16 Hifi Lautsprecher-Set beinhaltet einen HTKS210 Subwoofer, mit dem ich in letzter Zeit etwas Ärger hatte. Wenn der Subwoofer über den LFE-Kanal angeschlossen wurde und der Input-Schalter von „normal“ auf „LFE“ umgelegt wurde, begann der Subwoofer leise zu pfeifen. Nicht sehr hoch, nicht sehr laut, aber so, dass man extrem genervt wurde, wenn gerade keine Musik lief und der Subwoofer eingeschaltet war.
Wie bereits bekannt sein dürfte, kann man die Erkennungsrate von Spamassassin verbessern, indem man die Software von bereits als Spam markieren E-Mails mittels sa-learn lernen lässt.
Seit einigen Monaten binde ich in mein Spamassassin zusätzlich die Filterregeln von Heinlein Support ein, die täglich aktualisiert werden und vom Betreiber so 1:1 auch für mailbox.org verwendet werden. Seitdem hat sich die Erkennungsrate für Spam signifikant verbessert. Zu meinem bestehenden Cronjob zur Aktualisierung der allgemeinen Filterregeln habe ich einfach einen zweiten Cronjob für die Heinlein Support-Filterregeln hinzugefügt:
Dass das Unternehmen seine Filterregeln frei für alle Admins zur Verfügung stellt, macht es durchaus sympathisch, finde ich. Vielleicht stellt in Zukunft ja auch der Mailprovider Posteo seine Filter zur Verfügung?
Nachdem ich im Sommer diesen Jahres meine Aktivitäten im sozialen Netzwerk Diaspora schon pausiert hatte, habe ich vor ein paar Tagen meinen Account deaktiviert. Ich will hier kurz begründen, wieso ich meine social Networking Aktivitäten heruntergefahren habe bzw. im Diaspora Netzwerk nicht mehr aktiv war und wohl auch nicht mehr so schnell aktiv sein werde.
Für WordPress gibt es verschiedene Plugins, über die sich ein Blog mit dem Yubikey absichern lässt. Eine Möglichkeit ist, die Authentifizierung via Yubikey OTP, die Yubico Server und dieses WordPress Plugin abzuwickeln. Der Vorteil: Yubikey OTPs funktionieren auf jedem Rechner, der eine USB-Schnittstelle hat, weil der Yubikey in diesem Fall nur eine Tastatur simuliert. Nach Nachteil bei dieser Methode: Man verlässt sich auf fremde Server (Die Yubico Authentifizierungsserver), über die man keine Kontrolle hat.
Neben der Yubico OTP-Methode beherrscht mein Yubikey Neo auch die Authentifizierung über das FIDO U2F Verfahren. Auch hierbei werden Einmalpasswörter generiert – allerdings ohne die Hilfe fremder Server. Ein Nachteil hierbei: Damit U2F funktionieren kann, muss der Webbrowser dies unterstützen. Google Chrome / Chromium beherrscht U2F seit Version 40. Firefox kommt noch ohne native U2F Unterstützung. Über ein Browser-Addon kann man das aber nachrüsten. Im Folgenden erkläre ich die Einrichtung der Authentifizierung über U2F. Ich gehe davon aus, dass der Browser U2F bereits beherrscht.
Das Bundesamt für Strahlenschutz hat eine Datenbank mit mehr als 2.500 Smartphones und den jeweiligen SAR-Werten für Kopf und Körper veröffentlicht. Der SAR-Wert (spezifische Absorptionsrate) beschreibt, wie viel der elektromagnetischen Strahlung vom menschlichen Körper absorbiert und demnach in Wärme umgewandelt wird.
Für mein OnePlus One werden 0,29 W/kg am Ohr und 0,44 W/kg am Körper angegeben – also ziemlich gute Werte. Zulässig sind Werte bis 2 Watt/kg. Bei Werten von bis zu 0,6 W/kg spricht man von strahlungsarmen Geräten. Laut derstandard.at hat das Bundesamt die Werte nicht selbst gemessen, sondern bei den Herstellern angefragt. Ob man sich auf die Hersteller verlassen kann?
Quelle: BfS SAR Datenbank
Seit 2001 sind die Messbedingungen in der europäischen Norm EN 50361 festgelegt. Leider ist der Abstand zum Körper in der Norm nicht spezifiziert, sodass die Hersteller davon ausgehen, dass die Smartphones mit ihrem eigenen Zubehör am Körper getragen werden. Dadurch sind die Werte nicht 100%-ig vergleichbar. Mit welchem Abstand (=> dicke von Taschen) gemessen wurde, wird vom Hersteller an den Produktdaten angegeben.
Die SAR-Werte beziehen sich immer auf die technisch maximale Sendeleistung der verbauten Sendetechnik. In der Praxis (und vor allem in Gebieten mit gutem Empfang) liegt die Sendeleistung deutlich unter dem Maximum, sodass weniger Leistung auf den menschlichen Körper einwirkt.
Für WordPress gibt es verschiedene Plugins, über die sich ein Blog mit dem Yubikey absichern lässt. Eine Möglichkeit ist, die Authentifizierung via Yubikey OTP, die Yubico Server und 