www.archive-net-2013.com » NET » E » ECKENFELS

Choose link from "Titles, links and description words view":

Or switch to "Titles and links view".

    Archived pages: 629 . Archive date: 2013-09.

  • Title: Grundsätze - IT Blog
    Descriptive info: Löschen statt verstecken: Es funktioniert!.. |.. CSU/FDP will Transparenz der BaFin abschaffen.. 23:51.. Montag, 15.. Juni 2009.. Aktuell spitzt sich die Situation um den Entwurf für Sperrgesetz der Bundesregierung zu.. CDU und SPD haben sich.. scheinbar auf einen Entwurf geeinigt.. , der viele der geäußerten Bedenken adressiert.. Übrig bleibt aber das prinzipielle Problem dass einer Zensur-Infrastruktur Tür und Tor geöffnet wird.. Es ist meine Überzeugung, dass diese Regelung ein zu großes Mißbrauchsrisiko hat und ein Fehler ist.. Die sehr erfolgreiche.. e-Petition von Franziska Heine.. (am Ende des Tages vermutlich die erfolgreichste in der Geschichte der ePetitionen) oder die Aufklärungsarbeit in Blogs, Online-Magazinen und auch teilweise in Offline Medien hat die Netzpolitik zu einem gesellschaftlichen Thema gemacht und hat vermutlich auch mitgeholfen die Verbesserungen an dem Gesetz zu etablieren.. Ebenso wurden einige Misstände in der Arbeit des BKA aufgedeckt.. Der Kampf gegen Kinderpornografie und Kindesmissbrauch hat dadurch ohne Zweifel einen Boost bekommen.. Gesetzt den (wahrscheinlichen) Fall, dass der Entwurf am Donnerstag verabschiedet wird, und dass die daraufhin folgenden Instanzen (Rat, Präsident, Eilantrag beim Verfassungsgericht) ihn nicht stoppen, so stellt sich mir die Frage wie geht es weiter?.. Für mich gibt es da eine ganz klare Antwort: weiterhin in meinem Umfeld Aufklärungsarbeit leisten.. Gegen die Vorurteile und Falschinformationen vorgehen.. Aber es ist Absolut gegen meine Überzeugung sich als Retter der Gerechtigkeit zu verstehen und irgendwelche Aktionen zu starten die nicht rechtstaatlich sind.. Die Diskussion um #Zensursula wurde sehr emotional geführt: für einige Aktivisten war es die erste wirkliche Politische Arbeit überhaupt.. Der Frust-Level ist hoch.. Ich Warne davor den Pfad der legitimen Mittel zu verlassen.. Defacements, DOS Angriffe, SPAM oder vergleichbare Methoden sind in meinen Augen keine akzeptablen Mittel.. (Ganz abgesehen davon dass damit höchstens die Befürchtungen der Stasi 2.. 0 belegt werden und es zu einer Verschärfung der Cybercrime Gesetze kommen wird).. Wenn das Gesetz rechtsgültig zustande kommt, so gibt es keine selbstauferlegtes Kreuzrittertum das es rechtfertigt für das eigene Wertesystem die Grundsätze unserer Gesellschaft aufs Spiel  ...   adressiert.. Die sehr erfolgreiche e-Petition von Franziska Heine (am Ende des Tages vermutlich die erfolgreichste in der Geschichte der ePetitionen) oder die Aufklärungsarbeit in Blogs, Online-Magazinen und auch teilweise in Offline Medien hat die Netzpolitik zu einem gesellschaftlichen Thema gemacht und hat vermutlich auch mitgeholfen die Verbesserungen an dem Gesetz zu etablieren.. Gesetzt den (wahrscheinlichen) Fall, dass d.. Trackbacks.. Trackback-URL für diesen Eintrag.. Zensurgesetz in trockenen Tüchern.. Die Petition gegen das von Ursula von der Leyen initiierte Zensurgesetz ist noch nicht einmal abgeschlossen und hat schon mehr als 128.. 193 Mitzeichner (neuer Rekord!), da meldet sich die große Koalition schon zurück: Man hat die Verhandlungen zum Zensurge.. Weblog:.. Die wunderbare Welt von Isotopp.. Aufgenommen:.. Jun 16, 08:36.. Die Feigheit der SPD.. Am Wochenende ist die SPD endgültig nicht mehr wählbar geworden - aufgrund offenkundiger Feigheit.. Wenn eine Mehrheit auf einem Parteitag einen Antrag ablehnen würde, weil sie die Hintergründe nicht verstanden hat, dann würde das zwar nicht unbedingt f.. Das Blog am Datentrampelpfad.. Jun 16, 12:27.. »Was tun?«, sprach Zeus.. Man kann so vieles lesen derzeit.. Zum Beispiel auch ein Loblied auf die Rechtstaatlichkeit: Aber es ist Absolut gegen meine.. blogdoch.. net — jetzt wird zurückgeblogt.. Jun 23, 05:06.. PingBack.. Apr 23, 03:25.. Ansicht der Kommentare: (.. Linear.. | Verschachtelt).. Noch keine Kommentare.. Kommentar schreiben.. Name.. E-Mail.. Homepage.. Antwort zu.. [ Ursprung ].. Kommentar.. BBCode.. -Formatierung erlaubt.. Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.. Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen.. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden.. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.. Hier die Zeichenfolge der Spamschutz-Grafik eintragen:.. Pavatar.. Gravatar.. Favatar.. MyBlogLog.. Autoren-Bilder werden unterstützt.. Daten merken?.. Verlinkung.. scheinbar auf einen Entwurf.. geeinigt.. [929].. [899].. Eingehende Links.. [63].. ak-zensur.. [6].. www.. eurip.. [5].. koehntopp.. twitter.. [2].. netvibes.. [1].. google.. Blogsphere.. netcraft uptime.. Technorati Profile..

    Original link path: /archives/451-Grundsaetze.html
    Open archive

  • Title: Virtuelle Blog Realität - IT Blog
    Descriptive info: WS-ReliableMessaging 1.. 1 - Einspruch der ODF.. Filehippo Update Checker.. 20:36.. Samstag, 14.. Juli 2007.. Der Trends zu "realen" Cooperate Blogs hält ja schon einge Zeit an.. Aber in immer mehr Marketing Aktionen berichten nun auch virtuelle (erfundene) Blog Persönlichkeiten.. Zum einen sind die Blogs meistens amüsant zu lesen, aber doch auch sehr bedenklich, da die Reale Erfahrungskomponente doch nur bedingt durch eine Moderationsbrille sichtbar wird.. Zwei der Blogs, die ich über Kommentare im IT Blog gefunden habe möchte ich hiermit vorstellen:.. Die Produktmanagerin.. Aus dem Alltag der Produktmanagerin Dr.. Laura Slash.. Über diese Platform sollen die Vorzüge der integrierten Lösung.. Product Manager.. der.. doubleSlash Net-Business GmbH.. vorgestellt werden.. Gibt es denn auch schon reale Blogs die über Erfahrungen mit diesem Produkt berichten?.. Quo Vadis Bremer.. Aus dem Alltag eines IT-Leiters der den Anforderungen seines CFO mit SOA begegnen will.. Das ist ein Blog der.. , ob es um Software oder Dienstleistungen des IT Riessen gehen soll ist noch nicht klar.. Auch hier muss ich feststellen das die meisten.. SOA Blogs.. nicht von Praktikern sondern von Beratern oder Herstellern stammen.. Wer kennt noch weitere Projekte, die fiktive Blogs zur Marktkommunikation einsetzen?.. Marketing.. Product Management.. SOA.. Kommentare (3).. Trackbacks (2).. Der Trends zu \"realen\" Cooperate Blogs hält ja schon einge Zeit an.. Zwei der Blogs, die ich über Kommentare im IT Blog gefunden habe möchte ich hiermit vorstellen: Die Produktmanagerin.. Über diese Platform sollen die Vorzüge der integrierten Lösung Product Manager der doubleSlash Net-Business GmbH vorgestellt werden.. Gibt es denn auch schon reale Blogs die über Erfahrungen mit diesem Produkt berichten? Quo Vadis Bremer..  ...   missbraucht.. Ziel eines solchen Blogs ist, dass nicht nur der Moderator seine Sicht der Dinge schildert, sondern das Zielpublikum qualifizierten und unverfälschtes Feedback gibt.. #1.. Oliver.. ) am.. 20.. 07.. 2007 10:42.. Antwort.. ).. Auch wenn ich wiederum als fiktive Person antworte, so stehen doch hinter solchen Blogs reale Personen.. Sie dürfen mir glauben, dass bei der Kreation meiner bescheidenen Person eine Menge reale Erfahrung mit in den „Geburtsprozess“ (übrigens noch nicht SOA getrieben) mit eingeflossen sind.. Meine Geburtshelfer hatten – man möge es mir glauben – auf jeden Fall kein Produktmarketing im Sinn.. Es geht vielmehr darum, ein komplexes IT Paradigma in all seinen Facetten zu erläutern und, vielleicht noch wichtiger – eine kommunikative Diskussion darüber anzustoßen.. Und da ist eben kein Powerpointilismus sondern in erster Linie folgende Frage interessant: Wie komme ich (vor allem als IT Leiter) aus meinem IT Bunker heraus und bringe IT und Geschäft enger zusammen.. Vor dieser Frage stehe ich gerade und nehme deshalb besonders gern Kommentare und Hilfen von Menschen an, die mir ein paar Erfahrungsschritte voraus sind.. #2.. Frank Bremer, IT – Leiter Panta Rhei.. 24.. 2007 22:13.. Ich persönlich glaube nicht an das Gute im Marketing.. Aber ich finde beide Blogs ganz amüsant von daher spricht da nichts dagegen.. Es wird ja auch sehr offen klar gemacht wer hier spricht, so kann sich jeder die Infomrationen selbst bewerten.. 25.. 2007 17:43.. #1: Oliver am 20.. #2: Frank Bremer, IT – Leiter Panta Rhei am 24.. 1: Bernd Eckenfels am 25.. [1284].. [1272].. [1390].. doubleSlash.. [23].. produktmanagerin.. [13].. [12].. [9].. eckes.. [4].. cio-weblog.. [3].. technorati..

    Original link path: /archives/266-Virtuelle-Blog-Realitaet.html
    Open archive

  • Title: Rechner im AD LDAP mit Powershell auflisten - IT Blog
    Descriptive info: STRIDE vs.. CIA.. 2-wege Authentifizierung.. 04:27.. Mittwoch, 10.. August 2011.. Ich hab ein wenig mit Powershell herumgespielt (weil ich das.. Script.. das auch in.. de.. Hackin9.. org 08/2011.. abgebildet war nicht verstanden habe).. Dabei kam dann folgendes funktionierendes Script heraus, es sortiert mit alle Rechner des AD LDAPs und zeigt diese in einem grafischen Viewer mit Betriebsystemversion und Servicepack Level an:.. $ldapSearcher = new-object directoryservices.. directorysearcher; $ldapSearcher.. filter = "(objectclass=computer)"; $computers = $ldapSearcher.. findall(); $pcs = @(); foreach ($c in $computers) { $pc = "" | Select-Object Name,OS,SP,SPN; $pc.. Name=$c.. properties["cn"]; $pc.. OS=$c.. properties["operatingsystem"]; $pc.. SP=$c.. properties["operatingsystemservicepack"]; $pc.. SPN=$c.. properties["serviceprincipalname"]; $pcs += $pc; } $pcs | sort-object OS,SP,Name | Out-GridView;.. Ich habe aber keine Ahnung wie man einfacher aus den Dictionary Entries des.. $c.. Properties.. Member direkte Properties machen kann ohne diese mit einer foreach Schleife und direktem Assignment aufwändig zu kopieren.. Ich hoffe ein mitlesender Powershell Guru kann mir das kurz sagen? :).. Update:.. Max Trinidad.. @MaxTrinidad.. ) hat mich auf die Idee mit New-Object gebracht, damit lässt sich das Script etwas vereinfachen und die Attribute in Strings konvertieren:.. findall(); [Array] $pcs = $null; foreach($c in $computers) { $pcs += New-Object PSobject -property @{ Name = [string]$c.. properties["cn"]; OS = [string]$c.. properties["operatingsystem"]; SP = [string]$c.. properties["operatingsystemservicepack"]; SPN = [string]$c.. properties["serviceprincipalname"]; } }.. Und darauf aufbauend (aber ohne String Konvertierung) dann die Lösung mit der Automatischen Übernahme aller Dictionary Einträge aus dem AD Objekt:.. $ldapSearcher = New-Object directoryservices.. findall();  ...   keine Ahnung wie man einfacher aus den Dictionary Entries des $c.. Properties Member direkte Properties machen kann ohne diese mit einer foreach S.. Windows 2008 / 7 - Powershell alle Rechner mit Betreibssystem in eine Datei.. Problem : Man möchte eine Übersicht über alle im AD vorhandenen Rechner mit Betriebsystem und Servicepack Lösung : Dieses Skript exportiert alle Rechner mit OS und SP in eine Textdatei die einfach in Excel importiert werden kann.. $ldapSearcher.. Feb 08, 08:01.. If you wonder how to format the timestamps in some of the properties:.. $utc = [datetime] 1/1/1601 ;.. foreach().. $pc.. login=$utc.. AddDays($c.. properties[ lastlogon ][0]/864000000000).. ToString( yyyy-MM-dd );.. (maybe lastlogin is not replicated.. the above will generate errors if property does not exist).. 10.. 08.. 2011 17:57.. Hier ist ein Tutorial aus dem MSDN für den Fall hier (hilft aber nicht beim Umformatierungsproblem):.. http://technet.. microsoft.. com/en-us/library/ff730967.. aspx.. 2011 18:39.. An ultra short version is provided by Thomy:.. ([adsisearcher] (objectclass=computer) ).. FindAll() | %{ New-Object PSObject -p $_.. Properties} | Out-GridView.. (however if you want to specify multiple parameters like search root, search type and others, the temporary variable in the script might come in handy).. Personally I prefer readable self documenting code - especially if it is a canned script as opposed a manual command entry.. Bernd.. #3.. 17.. 2011 05:22.. #1: Bernd am 10.. #2: Bernd am 10.. #3: Bernd am 17.. [558].. [475].. [493].. [781].. domaincrawler.. [28].. datasis.. ch.. facebook..

    Original link path: /archives/476-Rechner-im-AD-LDAP-mit-Powershell-auflisten.html
    Open archive
  •  

  • Title: Passwortsicherheit - IT Blog
    Descriptive info: E-Mail versenden von Amazon EC2 (SES mit Exim).. GUI Design.. 05:25.. Freitag, 3.. Februar 2012.. Passwörter haben eine Menge Probleme.. Deswegen gibt es jede Menge best-practice um diese Probleme etwas zu reduzieren.. Eine einfache Regel ist, dass man Passwörter von Benutzern so abspeichern sollte, dass diese nicht wiederhergestellt werden können.. Der Grund dafür ist insbesondere dass die Passwörter die ggf.. in unterschiedlichen Diensten genutzt werden nicht eventuellen Hackern (oder unehrlichen Administratoren) in die Hände fallen können.. Dazu werden die Passwörter durch eine Hash Funktion einwegverschlüsselt.. Bei der Prüfung des Passwortes wird dann nicht das eingegebene Passwort mit der gespeicherten Version vergleichen, sondern die Einweg-Funktion darauf angewendet und dann verglichen.. Eine Konsequenz dieses Verfahren ist es, dass das Passwort von der Anwendung nicht wieder angezeigt oder per Mail an den User gesendet werden kann.. Bei mehr oder weniger öffentlichen Diensten ist es üblich, dass es dort eine Passwort-vergessen Funktion gibt die eine Reset Mail an den Benutzer versendet.. Dieses Verfahren verlässt sich auf die Sicherheit des E-Mail Verkehrs - ist somit keine sonderlich sichere Option - aber bei Diensten die mehr oder weniger öffentlich angeboten werden ist die E-Mail Adresse sowieso die einzige zusätzliche Möglichkeit den User zu erreichen.. Es gibt im wesentlichen 3 Möglichkeiten für solche Passwort-Zurücksetzungsmails:.. a) aktuelles Passwort per E-Mail zusenden.. Das hat den ganz großen Nachteil, dass das Passwort dazu wiederhergestellt werden muss (also nicht Einweg-verschlüsselt sein kann).. Außerdem wird das aktuelle Passwort unverschlüsselt per E-Mail versendet.. Was besonders problematisch ist wenn dieses wiederverwendet wurde oder weiterverwendet wird.. b) neues Passwort erzeugen und zumailen.. Nachteil bei dieser Methode: jeder kann eine beliebige E-Mail Adresse eingeben um deren Besitzer mit nicht funktionierenden Passwörtern zu nerven.. c) Reset-Link erzeugen und zumailen.. Wenn der Benutzer den Link benutzt, so wird er um Eingabe eines neues Passwortes gebeten.. Dies bietet den  ...   und Rosettanet.. org (danke Christian) hinzugefügt.. de hinzugefügt (danke Robin).. Added mailman.. Kommentare (7).. Bei mehr oder weniger öffentlichen Diensten ist es üblich, dass es dort eine Passwort-vergessen Funktion gibt die eine Reset Mail an.. Keine Trackbacks.. Bei RosettaNet.. org und OAGI.. org hab ich mich neulich auch darüber aufgeregt.. Überall Spezialexperten.. Christian.. am.. 03.. 02.. 2012 14:53.. Man müsste so eine Art Passworthandling-TÜV einführen oder einen automatischen Passworthandling-Tester entwickeln.. Guter Post.. Oliver//.. 04.. 2012 10:34.. Ich glaub das password handling lässt sich nur begrenzt automatisiert testen, aber ne Checkliste geht sicher.. Und mit Zugriff auf die Datenbank und die Referenzdoku kann man noch mehr ableiten.. Ich glaub obige Liste sollte mal ins OWASP Wiki umziehen.. :).. 2012 10:59.. Ist es nicht eine Ausnahme, wenn die auf Verschlüsselung und Sicherheit achten? Selbst meine Bank ist da sehr sorglos.. o.. O.. Die haben jetzt von Papier TAN auf Handy TAN umgestellt.. 2012 13:00.. Die zuständigen Stelken in den Ländern (Innenministerium oder Datenschutzbeauftragten) könnten ja mal, statt mit Facebook zu streiten gewerbliche Webseiten auf einen sorgfältigen Umgang mit kritischen Daten hinweisen.. Das würde der Awareness viel helfen (auch wenn Sie es dann bei Hinweisrn und PMs belassen).. 2012 17:28.. de/.. Danke für die gute Beschreibung des Problems und der Lösungsmöglichkeit!.. #4.. bl123.. 2012 14:25.. das Karriere Portal von EnBW ist genauso unsicher.. enbw.. com/content/de/karriere/jobmarkt/index.. jsp.. Ich hatte sie vor einiger Zeit schon sogar darauf hingewiesen, als Reaktion kam nur, dass sie sich darum kümmern würden.. nichts passiert.. Für ein großes börsennotiertes Unternehmen ist das Karriereportal ein ziemliches Armutszeugnis.. #5.. 123.. 2012 14:43.. #1: Christian am 03.. #2: Oliver// am 04.. 1: Bernd am 04.. #3: Edith - die Zauberkünstlerin am 04.. #4: bl123 am 04.. #5: 123 am 04.. [556].. [1127].. [1218].. [782].. [628].. [526].. [22].. longurl.. t.. co.. twikle.. at.. inezha..

    Original link path: /archives/486-Passwortsicherheit.html
    Open archive

  • Title: IT Blog - Einträge für September 2013
    Descriptive info: Einträge für September 2013.. Keine Einträge vorhanden.. (Seite 1 von 1, insgesamt 0 Einträge)..

    Original link path: /archives/2013/09.html
    Open archive

  • Title: IT Blog - Einträge für August 2013
    Descriptive info: Einträge für August 2013..

    Original link path: /archives/2013/08.html
    Open archive

  • Title: IT Blog - Einträge für Juli 2013
    Descriptive info: Einträge für Juli 2013..

    Original link path: /archives/2013/07.html
    Open archive

  • Title: IT Blog
    Descriptive info: 2013.. September.. 0 Einträge.. (ganz anzeigen).. (Überschriften anzeigen).. August.. Juli.. Juni.. Mai.. 2 Einträge.. ganz anzeigen.. Überschriften anzeigen.. April.. März.. Februar.. 1 Einträge.. Januar.. 2012.. Dezember.. November.. Oktober.. 3 Einträge.. 4 Einträge.. 2011.. 2010.. 2009.. 5 Einträge.. 10 Einträge.. 2008.. 7 Einträge.. 8 Einträge.. 2007.. 2006.. 17 Einträge.. 12 Einträge.. 2005.. 16 Einträge.. 6 Einträge.. 13 Einträge.. 2004..

    Original link path: /archive
    Open archive

  • Title: IPv6 Kongress: Java-Anwendungen für IPv6 fit machen - IT Blog
    Descriptive info: IPv6 Kongress: Java-Anwendungen für IPv6 fit.. Ansicht der Kommentare: (Linear |.. Verschachtelt.. [163].. [171].. [26]..

    Original link path: /index.php?url=archives/499-IPv6-Kongress-Java-Anwendungen-fuer-IPv6-fit-machen.html&serendipity[cview]=linear
    Open archive

  • Title: IPv6 Kongress: Java-Anwendungen für IPv6 fit machen - IT Blog
    Original link path: /index.php?url=archives/499-IPv6-Kongress-Java-Anwendungen-fuer-IPv6-fit-machen.html#feedback
    (No additional info available in detailed archive for this subpage)

  • Title: Einträge von Bernd Eckenfels - IT Blog
    Descriptive info: Einträge von Bernd Eckenfels.. 01:35.. Montag, 4.. Gerade musste ich über diesen Dialog schmunzeln (es handelt sich dabei um den ClickOne.. Net Installer von.. GitHubForWindows 1.. Dass der Hilfetext abgeschnitten wird ist wohl ein Problem der deutschen Übersetzung in Zusammenhang mit unterschiedlichen Bildschirmauflösungen.. Aber warum dieser Hinweistext überhaupt angezeigt wird ist ja schon fraglich.. Der nimmt deutlich mehr Platz ein als jemals ein Domain Name lang sein könnte.. Net Installer von GitHubForWindows 1.. 0).. 01:06.. Januar 2012.. Wie ich.. bereits berichtet.. hatte kann es für einen Anwender der IaaS Cloud Amazon EC2 Sinn ergeben den.. Simple Email Service.. SES.. ) von Amazon zu verwenden um E-Mails zu versenden.. Dabei kann man entweder die Amazon API/Tools verwenden, oder inzwischen auch die Mails per smtps an den Amazon Smarthost liefern.. Amazon selbst bietet nur einen SMTP-SSL Server auf Port 465 an.. Die meisten MTAs können dieses Protokoll nicht mehr sprechen und ziehen STARTTLS vor, deswegen empfiehlt Amazon in seiner.. Anleitung.. die Verwendung von.. stunnel.. als zwischengeschaltenen Proxy.. Diese Indirektion ist aber unschön, und kann mit einer aktuellen.. Exim.. Version vermieden werden.. Ab der Version 4.. 77 unterstützt der SMTP Transport von Exim auch das.. smtps Protokoll.. (für ausgehende Verbindungen).. Mit folgenden Exim Einstellungen (Auszug) kann also ein EC2 Linux Rechner direkt an den Amazon Dienst die E-Mail ausliefern (wichtig: die Envelop-From und From: Addresse der versendeten Mails müssen in der Liste der verifizierten SES Absender sein.. Als Empfänger kommen nur dann beliebige E-Mail Addressen in Frage, wenn man diese Funktion bei Amazon explizit freischalten hat lassen.. 1.. Alle Mails an dem Amazon Server leiten (dnslookup entfernen):.. smarthost: driver = manualroute domains = ! +local_domains transport = remote_smtps route_data = email-smtp.. us-east-1.. amazonaws.. com no_more.. 2.. Einen neuen SMTP/SSL Transport definieren:.. remote_smtps: driver = smtp protocol = smtps #port = 465 hosts_require_auth = hosts_require_tls =.. 3.. Zusätzlich einen Authenticator mit dem SES User/Passwort definieren:.. client_login: driver = plaintext public_name = LOGIN client_send = : xxxxI6CIH2YIWSNxxxxx : Agcq00AEvA2ZDiQHNrDvTEODE3FWa1rxxxxx.. Ich habe das ganze unter Amazon Linux mit Exim 4.. 77 aus dem AltCent Repository getestet:.. wget http://centos.. alt.. ru/repository/centos/6/i386/exim-4.. 77-1.. el6.. i686.. rpm rpm -i exim-4.. rpm.. Es bietet sich an Exim so zu konfigurieren, dass nur auf localhost auf dem Submission Port E-Mails angenommen werden:.. daemon_smtp_ports = 587 local_interfaces = 127.. Dies stellt sicher, dass der Dienst nicht für Spam oder Sicherheitsangriffe ausgenutzt werden kann.. Wie ich bereits berichtet hatte kann es für einen Anwender der IaaS Cloud Amazon EC2 Sinn ergeben den Simple Email Service (SES) von Amazon zu verwenden um E-Mails zu versenden.. Die meisten MTAs können dieses Protokoll nicht mehr sprechen und ziehen STARTTLS vor, deswegen empfiehlt Amazon in seiner Anleitung die Verwendung von stunnel als zwischengeschaltenen Proxy.. Diese Indirektion ist aber unschön, und kann mit einer aktuellen Exim Version vermieden werden.. 77 unterstützt der SMTP Transport von Exim auch das smtps Protokoll (für ausgehende Verbindungen).. Mit folgenden Exim Einstellungen (Auszug) kann also ein EC2 Linux Rechner direkt an den Amazon Dienst die E-Mail ausliefern (wichtig: die Envelop-From und From: Addresse der versendeten Mails müssen in der List.. Java 7 - Probleme mit neuen JSSE Features.. 11:36.. Samstag, 7.. Mit Java 7 sind in den SSL/TLS Provider von Oracle einige.. neue Funktionen.. eingezogen.. Darunter der schon lange erwartete Support für TLSv1.. 1 und TLSv1.. 2, aber auch die Unterstützung der.. TLS Extensions.. u.. A.. für die Server Name Indication(SNI).. Letzteres wird dazu verwendet virtuelle Hosts auf einem SSL Port zu unterstützen: Bisher konnte ein SSL Server nämlich nicht wissen an welchen (der potentiell vielen) virtuellen Dienste hinter einer IP Adresse sich der SSL Client wenden will.. Besonders ärgerlich ist dies im Fall von HTTP/s, dort ist es die Regel dass Hoster sehr viele Kunden-Domains hinter ein und der selben IP-Adresse betreiben.. In HTTP/1.. 1 wird der gewünschte Servername in der Anfrage mitgegeben (Host: Header).. So kann der HTTP Server entscheiden welche Webseiten er ausliefern soll.. Im Falle des SSL Server Zertifikats (welches im SSL Handshake schon vor der HTTP Anfrage ausgetauscht wird), kann dies der Webserver aber nicht.. Er muss raten welches Zertifikat er dem Client präsentieren soll, und das schlägt natürlich in der Regel fehl.. Mit der Extension wird der Servername auch im Handshake mitgeschickt, und der Server kann sein Zertifikat passend auswählen.. Problem bei der Geschichte ist: der Server darf auf eine solche Namensanfrage mit einem SSL Alert (Warning) reagieren.. In dieser sagt er, dass er sich für den angefragten Host nicht zuständig fühlt.. Das kommt bei aktuellen Webserver Installationen häufig vor, weil diese einfach nicht korrekt eingerichtet sind (und die modernen Browser die SNI unterstützen diese Warnung auch einfach ignorieren).. Da das zurückgelieferte Default Zertifikat oftmals den richtigen Hostnamen (in einer der Attribute) enthält, klappt der gesicherte Handschlag im Alltag dennoch.. Nicht jedoch mit Java 7 SSL Clients, JSSE macht daraus eine fatale Exception:.. javax.. ssl.. SSLProtocolException: handshake alert: unrecognized_name.. at sun.. security.. ClientHandshaker.. handshakeAlert at sun.. SSLSocketImpl.. recvAlert at sun.. readRecord at sun.. performInitialHandshake at sun.. startHandshake at sun.. www.. protocol.. https.. HttpsClient.. afterConnect at sun.. AbstractDelegateHttpsURLConnection.. connect at sun.. http.. HttpURLConnection.. getOutputStream at sun.. HttpsURLConnectionImpl.. getOutputStream.. Ich habe deswegen einen.. Bugreport.. aufgemacht, jedoch wurde dieser wieder kommentarlos geschlossen.. Falls Sie nun trotz Oracle's widerstreben die Notwendigkeit haben mit einem Web Server zu kommunizieren der SNI nicht richtig eingerichtet hat, so bleiben nur 2 Möglichkeiten über:.. a) TLS aus der Liste der unterstützten Protokolle entfernen - mit einem SSLv3 Handshake wird kein Extension Record übertragen, und entsprechend klappt auch der Handshake (solange der Server SNI nicht benötigt).. b) den SSL Socket so initialisieren, dass die SSLEngine den Host nicht kennt.. Dieser sogenannte Host hint wird für mehrere Dinge verwendet, kann aber auch weggelassen werden.. Erreichen kann man dies, indem man den Socket statt mit.. s=factory.. createSocket(name, port);.. mit "s=factory.. createSocket(); s.. connect(name,port);" erzeugt.. Übrigens ist dies ein ziemlich unerwartetes Verhalten: SSL mit Kerberos Authentifizierung würde nur auf die erste Art und Weise funktionieren, da hierfür die Identität des Servers bekannt sein muss.. Der Punkt a) ist ein schneller Fix, kommt aber in der Praxis eigentlich nicht in Frage, da man mit Java 7 ja eher daran Interesse hat TLSv1.. 1 oder TLSv1.. 2 zu verwenden um Lücken wie z.. BEAST-Angriff.. auszuschließen.. Daher bleibt es nur übrig entweder den Anwendungscode zu ändern (oder wenn man diesen nicht selbst geschrieben hat, wie im Falle einer häufig verwendeten URLConnection oder beim Apache HTTPClient) oder aber mindestens eine eigene SSLSocketFactory zu implementieren, die auf die 2-stufige Erzeugung des SSLSockets aufsetzt.. : Ich habe in den Sourcen grade eine System Property gefunden, mit der man abschalten kann, dass der ClientHandshaker die SNI Extention sendet.. Dies lässt sich als Work around gut verwenden: System.. setProperty("jsse.. enableSNIExtension", "false"); (muss vor der Verwendung von SSL Klassen im Programm, oder auf der Command Line gesetzt werden).. Mit Java 7 sind in den SSL/TLS Provider von Oracle einige neue Funktionen eingezogen.. 2, aber auch die Unterstützung der TLS Extensions u.. Er muss raten welches Zertifikat er dem.. Eckpunktepapier der BNetzA zu Smart Grids und Markets.. 07:47.. Dienstag, 3.. Die Bundesnetzagentur hat ein.. Eckpunktepapier.. zum Thema Smart Grids und Markets veröffentlicht.. Damit will die Bundesbehörde.. durch dieses Papier eine intensivere Diskussion der Thematik anstoßen zu können und die Veränderungen des Energieversorgungssystems weiter voran zu bringen.. Dieses Eckpunktepapier soll die Diskussion zu dieser Thematik weiter befördern und besser strukturieren.. Das "Eckpunktepapier der Bundesnetzagentur zu den Aspekten des sich verändernden Energieversorgungssystems" enthält Leitgedanken und Begriffsdefinitionen und ist schon aus diesem Grund sehr lesenswert.. Ob die einzelnen Thesen (Abnahme des Gesamtenergieverbrauchs) nun zutreffen wird sich zeigen, von einer Zunahme der Stromabnahme wird aber ausgegangen.. Auch bei intelligenteren Verbrauchern (da zunehmend andere Energieformen verdrängt werden, was angesichts der Endlichkeit von fossilen Energieträgern nur logisch ist).. Das Paper baut darauf, dass Verbraucher sich über Marktsignale (Preise) steuern lassen.. Das wird sich zeigen wie gut das funktioniert.. Ein wenig sehr optimistisch dürfte die Annahme der Transaktionskostensenkung bei "kleinteiliger Interaktion" sein (.. Fehlschläge im Smartmeter Markt wie in den Niederlanden oder Großbritannien.. deuten ja eher darauf hin, dass es sinnvoll sein kann alternative Lösungswege anzustreben und nicht alles über Informationstechnologie lösen zu wollen.. Größtenteils wird der Smartmetermarkt von Anbietern getrieben die sich neue Einnahmequellen versprechen und die Vorteile werden in den meisten Haushalten weder gesehen - noch existieren diese).. Das BNetzA Papier sieht dies aber auch (Leitgedanke 4).. Was mir persönlich im Papier fehlt ist ein klarere Fokus auf das Thema Datenschutz, Schutz von kritischen Infrastrukturen und Monokultur.. Die Notwendigkeit von Datendrehscheiben wird nicht hinterfragt, und eine Vermischung der Messdaten von Prosumenten oder Industrieabnehmern mit den Messstellen in Haushalten führt meiner Meinung nach zu einer Übertechnisierung der Haushalte.. Für eine zuverlässige Demand-Site Prognose ist meiner Meinung nach nicht notwendig den Tagesverlauf jedes einzelnen Haushaltes zu betrachten - ganz im Gegenteil das ist eher schädlich.. Der Nutzen von mehr Transparenz beim Stromverbrauch eines einzelnen Haushaltes kann auch durch eine rein lokale Informationsanwendung (deutlich besser) gelöst werden.. Eine feingranulare Übermittlung von Messwerten erscheint mir nicht zwingend notwendig und vor allem nicht Ökonomisch.. In dem Zusammenhang verweise ich auch auf den Artikel in der aktuellen.. Datenschleuder.. #95 (Power to the People, Das Stromnetz der Zukunft, Mathias Dalheimer, Seite 35-48) und die Projekte.. mySmartGrid.. sowie.. volkszaehler.. Hardware.. Die Bundesnetzagentur hat ein Eckpunktepapier zum Thema Smart Grids und Markets veröffentlicht.. Damit will die Bundesbehörde durch dieses Papier eine  ...   das komplette EC2 Netz in die Liste aufzunehmen, da sonst alle Amazon Kunden wiederum E-Mails am SPF Filter vorbei versenden können (das ist zwar weniger ein Problem aber eben unschön).. Aus diesen Punkten ergeben sich zwar einige Konfigurationen die man vornehmen kann um von einem EC2 Host direkt an Endempfänger Mails zu versenden.. Die Wahrscheinlichkeit dass diese aber häufig als Spam erkannt werden ist groß.. Deshalb ist es anzuraten, dass ein Smarthost verwendet wird.. (Das hat auch administrative Vorteile wenn die EC2 Hosts Ihre Mails schnell loswerden und man nicht mehrere Mailwarteschlangen überwachen muss).. Um kein eigenes Relay betreiben zu müssen bietet es sich z.. an den Simple E-Mail Service (SES) von Amazon zu verwenden.. Dann muss man nur die SES E-Mail Server von Amazon AWS zusätzlich in die SPF Liste der Absenderdomain aufnehmen.. Dies ist hier beschrieben:.. http://docs.. amazonwebservices.. com/ses/latest/DeveloperGuide/SPF.. html.. Im Gegensatz zum kompletten IP-Subnetz von Amazon EC2 hat man bei dieser Vorgehensweise den Vorteil, dass Amazon ein hohes Interesse daran hat, dass nur autorisierte Benutzer die Absenderadresse verwenden.. (Gleiches gilt übrigens auch für Google App Engine, hier kann man auch Mail Relays in die SPF Liste aufnehmen).. Zudem kann man sich danke Amazon IAM ein Benutzername/Passwort erzeugen der außer dem E-Mail Versand keine weiteren Rechte hat.. Dieser kann man dann bedenkenlos im EC2 Image hinterlegen - zumindest solange man dieses nicht mit anderen Amazon Anwendern teilt.. Sonst bietet es sich eher an diese Credentials beim Start mit anzugeben.. Im nächsten Post beschreibe ich, wie man bei einem AMI auf Basis von Amazon Linux diese Varianten realisieren kann.. Amazon EC2 ist ein IaaS Anbieter bei dem man eigene virtuelle Systeme starten kann.. Um sicherzustellen, dass die E-Mails die von einem Amazon EC2 System abgeschickt werden auch ankommen, und nicht in Spam Filter der Provider hängenbleiben sind folgende Punkte zu beachten: a) wenn man einen Mailserver (MTA) verwendet der die Mails versendet so sollte dieser natürlich sicher konfiguriert sein, und kein Relaying von E-Mails zulassen - da sonst der EC2 Server zur Spamschleuder wird (was nicht nur Ärger mit Amazon nach sich zieht).. internal Domain wird von vielen E-Mail Em.. Java Stream mit Puffer einlesen.. 23:45.. Freitag, 9.. Bin heute zufällig über folgende Methode gestolpert:.. String readToString1(InputStream in) throws IOException { byte[]buf = new byte[256]; StringBuilder sb = new StringBuilder(); int n; do { n = in.. read(buf, 0, 256); if (n > 0) { String s = new String(buf, 0, n, "UTF-8"); sb.. append(s); } } while(n > 0); return sb.. toString(); }.. Diese Funktion soll einen InputStream dessen Zeichen UTF-8 codiert sind in einen String lesen.. Problem (mal abgesehen von der unnötigen Verwendung des if und den temporär angelegten String Objekten) bei dieser Funktion ist allerdings, dass der 256-byte Puffer in einen String umgewandelt wird, denn dabei werden ein oder mehrere Bytes durch den Zeichenkonverter gelesen.. Falls der Zeichenkonverter dabei am ende des Puffers anlangt, so ist das Zeichen unvollständig.. Das führt dann dazu dass ein Ersetzungszeichen (das Fragezeichen) am Ende des String steht.. Man sollte solche starren bytepuffer also vermeiden, wenn man diese in Zeichen umwandeln will.. Besser ist folgendes Vorgehen:.. String readToString2(InputStream in) throws IOException { char[] buf = new char[128]; StringBuilder sb = new StringBuilder(); Reader r = new InputStreamReader(in, "UTF-8"); int n; while((n = r.. read(buf, 0, 128)) != -1) { sb.. append(buf, 0, n); } return sb.. Um das unterschiedliche Verhalten zu testen, erzeuge ich einen InputStream der an ungeraden Byte Positionen Umlaute hat (also zuerst ein 1 byte Zeichen und dann lauter 2 byte Umlaute) und übergebe beiden Testmethoden diese Streams.. Zusätzlich benutze ich noch Mockito, um zu ermitteln welche Methoden wie aufgerufen wurden:.. import static org.. mockito.. Mockito.. *; public static void main(String[] args) throws IOException { byte[] umlaut = "ö".. getBytes("UTF-8"); byte[] inbuf = new byte[513]; inbuf[0] = 'X'; for(int i = 0;i.. Und hier das Ergebnis (gekürtzt):.. readToString1()=Xööö.. ööö??ööö.. ööö?? readToString2()=Xööö.. öööööööö.. ööööö.. Am Ende jeden Puffers zerschneidet die erste Methode die 2 Bytes eines Umlauts, und deswegen erscheinen an diesen Stellen das Füllzeichen des Character Konverters.. Bei UTF-8 streams ist es unwahrscheinlich dass ein multi-byte Zeichen ausgerechnet genau auf eine Blockgrenze fällt - umso unwahrscheinlicher ist es, dass ein Problem damit beim Testen auffällt.. Übrigens ist es nicht notwendig hier einen BufferedInputStream oder BufferedReader zu verwenden.. Der Reader wird ja bereits mit einem char array buffer (und nicht einzelnen Zeichen) gelesen.. Zudem liest der InputSreamReader() aus dem darunterliegenden InputStream mit einem StreamDecoder der einen eigenen Lesepuffer (bei den Sun Klassen ist das ein 8kb Puffer) hat.. Bin heute zufällig über folgende Methode gestolpert:String readToString1(InputStream in) throws IOException { byte[]buf = new byte[256]; StringBuilder sb = new StringBuilder(); int n; do { n = in.. read(buf, 0, 256); if (n > 0) { String s = new String(buf, 0, n, \"UTF-8\"); sb.. toString(); }Diese Funktion soll einen InputStream dessen Zeichen UTF-8 codiert sind in einen String lesen.. Man sollte solche starren bytepuffe.. SSL/TLS BEAST Lücke.. 10:49.. Samstag, 3.. Im September 2011 haben die Sicherheitsforscher Duong und Rizzo.. nachgewiesen.. , dass eine - seit.. 2002 bekannte.. und in TLS 1.. 1 behobene - Schwachstelle in den SSL 3.. 0 und TLS 1.. 0 Verschlüsselungsprotokollen nicht nur theoretisch ist, sonder wirklich ausgenutzt werden können.. Unter bestimmten Bedingungen erlaubt diese Schwachstelle einem Angreifer Teile aus einer SSL/TLS geschützten Übertragung zu ermitteln.. Gezeigt wurde dies am Beispiel eines abgefangenen paypal http Session Cookies, was erlaubte eine Browser Sitzung zu übernehmen.. Das Problem ist unter dem Namen „BEAST“ (Browser Exploit Against SSL/TLS) bekannt, und wird unter der Common Vulnerability ID.. CVE-2011-3389.. geführt.. Bei der Demonstration wurde ein Java Applet verwendet um die notwendigen Daten einzuschleusen, nach Duong/Rizzo es soll aber auch mit WebSockets oder JavaScript XHR Aufrufen möglich sein.. Dies zugrundeliegende kryptografische Schwäche ist ein generelles Problem vom SSL 3.. 0/TLS 1.. Es wurde aber als 2002 nur als theoretischer Angriff gesehen, jetzt sind Angriffe mit Hilfe der erweiterten Funktionen des WebBrowsers bekannt geworden.. Da es für einen erfolgreichen Angriff nicht nur notwendig ist, dass die verschlüsselte Verbindung abgehört werden kann, sondern auch, dass der Angreifer in den Klartext eigene Stück einfügen kann (Chosen Plaintext).. Dies ist durch die Verwendung von JavaScript auf Webseiten relativ einfach möglich.. Wird bei SSL/TLS eine Blockchiffre im CBC (Cipher Block Chaining) Modus verwendet, so benutzt SSL 3.. 0 einen vom Vorgängerblock abgeleiteten Initialisierungsvektor.. Da sich dieser ermitteln lässt ist hier ein Problem gegeben, das durch geschicktes einfügen von Füllzeichen in den Klartext erlaubt Inhalte zeichenweise an den Blockgrenzen zu ermitteln.. Dies zu behaben bedarf es einer neuen Protokollversion: TLS 1.. Aber in TLS 1.. 0 und SSL 3.. 0 kann es nicht so einfach verhindert werden.. Somit hilft mittelfristig nur ein Update auf diese „neuen“ Protokolle, die zwar schon Jahrelang verfügbar sind, sich aber in der Praxis in den meisten WebServern und WebBrowsern noch nicht durchgesetzt haben (vor allem nicht per default aktiviert sind).. Mögliche Gegenmaßnahmen zu BEAST (und deren Probleme) sind:.. SSL/TLS Ciphers nicht im CBC Modus verwenden.. Diese können in den gängigen Browsern und Servern abgeschalten werden.. Die Gefahr dass dann Gegenstellen keine gemeinsame Verschlüsselung aushandeln können ist allerdings groß.. Sollte also nur bei einer kleinen Anzahl von bekannten Kommunikationsgegenstellen benutzt werden.. Statt die CBC Chiffren abzuschalten kann auf jedenfall die Stromchiffre RC4 (TLS_RSA_WITH_RC4_128_SHA) bevorzugt werden.. Diese verwendet kein CBC und ist damit nicht betroffen.. Dies macht Google z.. schon seit einiger Zeit.. RC4 ist nicht unumstritten, es gibt Angriffe gegen das Verfahren, die aber in SSL.. nicht auftreten.. Oracle Java (JSSE) ab Version 1.. 0_29 und 7.. 0_1 implementiert einen CBC Schutz (der mit dem System Property jsse.. enableCBCProtection aus kompatibilitätsgründen wieder abgeschalten werden kann) bei dem der erste Block in zwei mit der Länge 1 und (n-1) gesplittet wird.. Erst mit Java 7 wird TLS 1.. 1 und 1.. 2 unterstützt.. Der gleiche Fix wird gerade in Chrome Beta 15 getestet, es gab schon.. Kompatiblitätsprobleme.. Für Opera 10.. 51 war der Fix geplant, ist aktuell noch nicht vorhanden (Opera benutzt keine WebSockets).. Dieser Schutz wird auch in Mozilla Firefox (via.. NSS library.. ) eingebaut, wartet dort aber noch auf eine Lösung der Kompatibilitätsprobleme und ist somit nicht Bestandteil von Firefox 7 (Mozilla sagt die WebSockets sind nicht verwundbar).. Es ist zu erwarten dass Microsoft für den Internet Explorer nachzieht, bisher.. empfehlen.. sie nur die RC4 Chiffre zu bevorzugen (Windows XP scheint dies zu tun), Vorsicht bei dem Umgang mit http Seiten walten zu lassen und ggf.. TLS 1.. 1 auf Client und Server zu aktivieren (immerhin unterstützen Microsoft Produkte dies schon, wird nur aus Kompatibilitätsgründen nicht aktiviert).. Die Option TLS 1.. 1 (oder neuer) zu verwenden wird leider noch einige Zeit auf sich warten lassen.. Besonders da SSL 3.. 0 abgeschalten werden müssten, um zu verhindern das Angreifer diese erzwingen.. Leider hängt openssl der TLS 1.. 1 Entwicklung nach, so dass auch Apache hier nur mit der RC4 Cipher gerettet werden kann (alternativ kann man mod_gnutls oder mod_nss verwenden, die sind aber beide weniger stark in der Nutzung).. Im September 2011 haben die Sicherheitsforscher Duong und Rizzo nachgewiesen, dass eine - seit 2002 bekannte und in TLS 1.. Das Problem ist unter dem Namen „BEAST“ (Browser Exploit Against SSL/TLS) bekannt, und wird unter der Common Vulnerability ID CVE-2011-3389 geführt.. Es wurde abe.. vorherige Seite.. (Seite 2 von 33, insgesamt 323 Einträge)..

    Original link path: /authors/1-Bernd-Eckenfels/P2.html
    Open archive



  •  


    Archived pages: 629