www.archive-net-2013.com » NET » E » ECKENFELS

Choose link from "Titles, links and description words view":

Or switch to "Titles and links view".

    Archived pages: 629 . Archive date: 2013-09.

  • Title: IT Blog
    Descriptive info: 2013.. September.. 0 Einträge.. (ganz anzeigen).. (Überschriften anzeigen).. August.. Juli.. Juni.. Mai.. 1 Einträge.. ganz anzeigen.. Überschriften anzeigen.. April.. März.. Februar.. Januar.. 2012.. Dezember.. November.. Oktober.. 2 Einträge.. 2011.. 2010.. 2009.. 3 Einträge.. 2008.. 2007.. 2006.. 2005.. 4 Einträge.. 2004..

    Original link path: /archive/C7
    Open archive

  • Title: E-Mail versenden von Amazon EC2 (SES mit Exim) - IT Blog
    Descriptive info: E-Mail versenden von Amazon EC2 (SES mit Exim).. Java 7 - Probleme mit neuen JSSE Features.. |.. 01:06.. Samstag, 14.. Januar 2012.. Wie ich.. bereits berichtet.. hatte kann es für einen Anwender der IaaS Cloud Amazon EC2 Sinn ergeben den.. Simple Email Service.. SES.. ) von Amazon zu verwenden um E-Mails zu versenden.. Dabei kann man entweder die Amazon API/Tools verwenden, oder inzwischen auch die Mails per smtps an den Amazon Smarthost liefern.. Amazon selbst bietet nur einen SMTP-SSL Server auf Port 465 an.. Die meisten MTAs können dieses Protokoll nicht mehr sprechen und ziehen STARTTLS vor, deswegen empfiehlt Amazon in seiner.. Anleitung.. die Verwendung von.. stunnel.. als zwischengeschaltenen Proxy.. Diese Indirektion ist aber unschön, und kann mit einer aktuellen.. Exim.. Version vermieden werden.. Ab der Version 4.. 77 unterstützt der SMTP Transport von Exim auch das.. smtps Protokoll.. (für ausgehende Verbindungen).. Mit folgenden Exim Einstellungen (Auszug) kann also ein EC2 Linux Rechner direkt an den Amazon Dienst die E-Mail ausliefern (wichtig: die Envelop-From und From: Addresse der versendeten Mails müssen in der Liste der verifizierten SES Absender sein.. Als Empfänger kommen nur dann beliebige E-Mail Addressen in Frage, wenn man diese Funktion bei Amazon explizit freischalten hat lassen.. 1.. Alle Mails an dem Amazon Server leiten (dnslookup entfernen):.. smarthost: driver = manualroute domains = ! +local_domains transport = remote_smtps route_data = email-smtp.. us-east-1.. amazonaws.. com no_more.. 2..  ...   es für einen Anwender der IaaS Cloud Amazon EC2 Sinn ergeben den Simple Email Service (SES) von Amazon zu verwenden um E-Mails zu versenden.. Die meisten MTAs können dieses Protokoll nicht mehr sprechen und ziehen STARTTLS vor, deswegen empfiehlt Amazon in seiner Anleitung die Verwendung von stunnel als zwischengeschaltenen Proxy.. Diese Indirektion ist aber unschön, und kann mit einer aktuellen Exim Version vermieden werden.. 77 unterstützt der SMTP Transport von Exim auch das smtps Protokoll (für ausgehende Verbindungen).. Mit folgenden Exim Einstellungen (Auszug) kann also ein EC2 Linux Rechner direkt an den Amazon Dienst die E-Mail ausliefern (wichtig: die Envelop-From und From: Addresse der versendeten Mails müssen in der List.. Trackbacks.. Trackback-URL für diesen Eintrag.. Keine Trackbacks.. Ansicht der Kommentare: (.. Linear.. | Verschachtelt).. Noch keine Kommentare.. Kommentar schreiben.. Name.. E-Mail.. Homepage.. Antwort zu.. [ Ursprung ].. Kommentar.. BBCode.. -Formatierung erlaubt.. Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.. Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen.. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden.. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.. Hier die Zeichenfolge der Spamschutz-Grafik eintragen:.. Pavatar.. Gravatar.. Favatar.. MyBlogLog.. Autoren-Bilder werden unterstützt.. Daten merken?.. Verlinkung.. [471].. [522].. [565].. Eingehende Links.. www.. google.. [2].. [1].. Blogsphere.. netcraft uptime.. Technorati Profile..

    Original link path: /archives/485-E-Mail-versenden-von-Amazon-EC2-SES-mit-Exim.html
    Open archive

  • Title: Eckpunktepapier der BNetzA zu Smart Grids und Markets - IT Blog
    Descriptive info: Eckpunktepapier der BNetzA zu Smart Grids und.. SQL Server JDBC Probleme.. Eckpunktepapier der BNetzA zu Smart Grids und Markets.. 07:47.. Dienstag, 3.. Die Bundesnetzagentur hat ein.. Eckpunktepapier.. zum Thema Smart Grids und Markets veröffentlicht.. Damit will die Bundesbehörde.. durch dieses Papier eine intensivere Diskussion der Thematik anstoßen zu können und die Veränderungen des Energieversorgungssystems weiter voran zu bringen.. Dieses Eckpunktepapier soll die Diskussion zu dieser Thematik weiter befördern und besser strukturieren.. Das "Eckpunktepapier der Bundesnetzagentur zu den Aspekten des sich verändernden Energieversorgungssystems" enthält Leitgedanken und Begriffsdefinitionen und ist schon aus diesem Grund sehr lesenswert.. Ob die einzelnen Thesen (Abnahme des Gesamtenergieverbrauchs) nun zutreffen wird sich zeigen, von einer Zunahme der Stromabnahme wird aber ausgegangen.. Auch bei intelligenteren Verbrauchern (da zunehmend andere Energieformen verdrängt werden, was angesichts der Endlichkeit von fossilen Energieträgern nur logisch ist).. Das Paper baut darauf, dass Verbraucher sich über Marktsignale (Preise) steuern lassen.. Das wird sich zeigen wie gut das funktioniert.. Ein wenig sehr optimistisch dürfte die Annahme der Transaktionskostensenkung bei "kleinteiliger Interaktion" sein (.. Fehlschläge im Smartmeter Markt wie in den Niederlanden oder Großbritannien.. deuten ja eher darauf hin, dass es sinnvoll sein kann alternative Lösungswege anzustreben und nicht alles  ...   eine Vermischung der Messdaten von Prosumenten oder Industrieabnehmern mit den Messstellen in Haushalten führt meiner Meinung nach zu einer Übertechnisierung der Haushalte.. Für eine zuverlässige Demand-Site Prognose ist meiner Meinung nach nicht notwendig den Tagesverlauf jedes einzelnen Haushaltes zu betrachten - ganz im Gegenteil das ist eher schädlich.. Der Nutzen von mehr Transparenz beim Stromverbrauch eines einzelnen Haushaltes kann auch durch eine rein lokale Informationsanwendung (deutlich besser) gelöst werden.. Eine feingranulare Übermittlung von Messwerten erscheint mir nicht zwingend notwendig und vor allem nicht Ökonomisch.. In dem Zusammenhang verweise ich auch auf den Artikel in der aktuellen.. Datenschleuder.. #95 (Power to the People, Das Stromnetz der Zukunft, Mathias Dalheimer, Seite 35-48) und die Projekte.. mySmartGrid.. sowie.. volkszaehler.. Hardware.. Die Bundesnetzagentur hat ein Eckpunktepapier zum Thema Smart Grids und Markets veröffentlicht.. Damit will die Bundesbehörde durch dieses Papier eine intensivere Diskussion der Thematik anstoßen zu können und die Veränderungen des Energieversorgungssystems weiter voran zu bringen.. Das \"Eckpunktepapier der Bundesnetzagentur zu den Aspekten des sich verändernden Energieversorgungssystems\" enthält Leitgedanken und Begriffsdefinitionen und ist schon aus diesem Grund sehr lesenswert.. Das Paper baut darauf, dass Verbraucher sich über Marktsignale (Preise) s.. [349].. [362].. [444].. [384].. koehntopp.. [19].. d.. seesmic..

    Original link path: /archives/483-Eckpunktepapier-der-BNetzA-zu-Smart-Grids-und-Markets.html
    Open archive
  •  

  • Title: Vernetzung - IT Blog
    Descriptive info: 03:31.. Sonntag, 1.. Von den Änderungen in Java SE 6.. 0 Update 29 zum Schutz vor SSL BEAST Angriffen hatte ich schon.. berichtet.. Ein Opfer dieser Kompatibilitätsänderung sind die JDBC Treiber für den Microsoft SQL Server (.. jTDS.. und.. Microsoft JDBC Driver for SQL Server.. sind betroffen).. Beim Aufbau der Verbindung (TCP) direkt mit dem.. Treiber kommt es zu folgendem Fehler:.. java.. SQLException: I/O Error: Software caused connection abort: recv failed State : 08S01 Error : 0.. Und die folgende Exception wirft der.. com.. microsoft.. sqlserver.. jdbc.. SQLServerException: Connection reset State : 08S01 Error : 0.. Wenn die Treiber durch einen Connection Pool benutzt werden, oder innerhalb einer Datasource, so kann es sogar zum Hängen (wegen Endlosschleife) kommen.. Eine Möglichkeit ist es, beim jTDS Treiber anzugeben, dass man kein SSL machen möchte (sollte aber eigentlich auch der default sein, laut.. jTDS FAQ.. Dies kann man mit dem JDBC URL Property ".. ;ssl=no.. " erreichen.. Wenn der Server allerdings auf "Force Encryption" konfiguriert ist, so wird er dann die Logins ablehnen.. Beim Microsoft Treiber würde das property ".. encrypt=false.. " lauten, dies half aber in meinen Versuchen (mit MS SQL Server 2008 R2 Express) nicht.. Eine weitere Möglichkeit ist es den SSL/TLS CBC-Fix per Java System Property abzuschalten:.. -Djsse.. enableCBCProtection=false.. Dies wirkt sich aber auf alle anderen SSL Verbindungen innerhalb dieser VM ebenfalls aus.. Es gibt Berichte, dass dieses Problem mit JavaSE 6.. 0 Update 30 behoben sei, das kann ich aber weder nachvollziehen, noch lassen die ReleaseNotes darauf schließen.. Ich habe mal einen.. Fehlerbericht bei jTDS.. dazu geöffnet.. 0 Update 29 zum Schutz vor SSL BEAST Angriffen hatte ich schon berichtet.. Ein Opfer dieser Kompatibilitätsänderung sind die JDBC Treiber für den Microsoft SQL Server (jTDS und Microsoft JDBC Driver for SQL Server sind betroffen).. Beim Aufbau der Verbindung (TCP) direkt mit dem jTDS Treiber kommt es zu folgendem Fehler: java.. SQLException: I/O Error: Software caused connection abort: recv failed State : 08S01 Error : 0 Und die folgende Exception wirft der Microsoft JDBC Driver for SQL Server: com.. SQLServerException: Connection reset State : 08S01 Error : 0 Wenn die Treiber durch einen Connection Pool benutzt werden, oder innerhalb einer Datasource, so kann es sogar zum Hängen (wegen Endlosschleife) kommen.. Eine Möglichkeit ist es, beim jTDS Treiber anzugeben, dass man kein SSL machen möchte (sollte aber eigentlich auch der default sein, laut jTDS FAQ).. Dies kann man mit dem JDBC URL Property \";.. Facebook Events im Google Kalender.. 01:11.. Freitag, 30.. Dezember 2011.. Wer ein Smartphone mit sich rumschleppt wird schon auf die Idee gekommen sein einen Web Kalender wie z.. Google Calendar.. zu synchronisieren, um immer alle Termine im Blick zu haben.. In meinem Fall habe ich einen Google Calendar Account in dem ich einige andere Kalender zusammenfasse, dieser wird dann per CalDAV auf dem iPhone eingebunden.. So sehe ich zum Beispiel die.. Karlsruher IT Termine.. , die Familientermine und die.. Termine der Karlsruher Piraten.. Was mir bisher noch gefehlt hat, waren meine.. Facebook Events.. , da hier immer auch mal wieder eine Einladung dabei ist, der ich zwar bei Facebook zusage, diese dann aber nicht in einen der Google Calender übernehme.. Es gibt hier aber eine einfache Möglichkeit, man kann die Events in Facebook als webcal/ical Feed exportieren.. Diese URL kann man dann in Google als neuen Kalender von einer URL importieren.. Das hat aber leider das Problem, dass Google bei einigen Einträgen kein Titel oder Beschreibung anzeigt.. Das ist ein.. bekanntes Problem.. , und es gibt im Web auch.. Anleitungen.. wie man das beheben kann.. Bei mir hat das auch geklappt (allerdings musste ich nicht CLASS:CONFIDENTIAL in CLASS:PUBLIC ändern, sondern bei mir waren es CLASS:PRIVATE Einträge die Facebook produziert hat:.. Diese Lösung setzt allerdings voraus, dass man irgendwo ein PHP Script ablegen kann.. Damit muss man jetzt nur die Export-URL von Facebook in dem PHP Script hinterlegen ("webcal:" in "http:" ändern), und in Google die PHP URL als Kalender importieren.. Dabei ist zu beachten, dass jeder der das Script kennt und aufrufen kann so an alle Facebook Termine rankommt (auch die privaten).. Wer das mit dem eigenen PHP Script nicht machen will, der kann auch.. Yahoo! Pipes.. verwenden.. Das ist ein Dienst bei den man eine Verarbeitungspipeline für Feeds zusammenstellen kann.. Im Falle von ICS Dateien reicht es bei Yahoo aus diese nur als Source zu definieren, und dann direkt wieder zurückzugeben, denn die Yahoo Quelle für Feeds (die ICS versteht) filtert automatisch die CLASS Attribute ganz raus.. Bei Yahoo Pipes muss man immer etwas tricksen wenn man einzelne Komponenten verbinden möchte (auf den Typ achten), deswegen hat die von mir verwendete Pipe noch den Zwischenschritt mit dem URL-Builder.. Die URL selbst ist in einem "Private String" abgelegt, damit niemand der die Sourcen sehen kann an meine Facebook Events herankommt.. (Leider lässt sich aber die Pipe trotzdem nicht sinnvoll Sharen, aber ich denke mit dem Screenshot könnt Ihr Euch leicht eine eigene zusammenbauen).. Beim Aufruf der Pipe ist es wichtig den Parameter "_render=ical" mitzugeben.. Früher gab es hierfür wohl einen Menueintrag bei Yahoo, der scheint aber entfernt worden zu sein.. Auch hier gilt, wer die Addresse Eurer Pipe kennt, kann Eure Facebook Terminzusagen lesen.. Google Calendar zu synchronisieren, um immer alle Termine im Blick zu haben.. So sehe ich zum Beispiel die Karlsruher IT Termine, die Familientermine und die Termine der Karlsruher Piraten.. Was mir bisher noch gefehlt hat, waren meine Facebook Events, da hier immer auch mal wieder eine Einladung dabei ist, der ich zwar bei Facebook zusage, diese dann aber nicht in einen der Google Calender übernehme.. Das ist ein bekanntes Probl.. E-Mail versenden von Amazon EC2.. 02:31.. Montag, 19.. Amazon EC2.. ist ein IaaS Anbieter bei dem man eigene virtuelle Systeme starten kann.. Diese Systeme können dann alle Systemfunktionen die eine Anwendung benötigt bereitstellen.. Dazu gehört zum Beispiel auch der E-Mail Versand (z.. root Mails oder eben E-Mails der Anwendung wie z.. Passwort Reminder oder Notifications).. Um sicherzustellen, dass die E-Mails die von einem Amazon EC2 System abgeschickt werden auch ankommen, und nicht in Spam Filter der Provider hängenbleiben sind folgende Punkte zu beachten:.. a) wenn man einen Mailserver (MTA) verwendet der die Mails versendet so sollte dieser natürlich sicher konfiguriert sein, und kein Relaying von E-Mails zulassen - da sonst der EC2 Server zur Spamschleuder wird (was nicht nur Ärger mit Amazon nach sich zieht).. b) Der SMTP Server meldet sich mit einem Rechnername.. Dort sollte er nicht den internen Amazon EC2 Namen verwenden der dem Rechner zugewiesen wird, denn dir dort verwendete.. internal Domain wird von vielen E-Mail Empfängern als ungültig abgelehnt.. c) Die E-Mail Adresse des SMTP Servers (also in dem Fall der virtuelle EC2 Host) sollte in einen gültigen Hostnamen aufgelöst werden, denn sonst springt der Spamschutz der Empfänger an.. Dies ist bei Amazon nur sinnvoll machbar wenn man eine Elastic IP verwendet.. Dieses Verfahren wird PTR oder auch "reverse DNS" checks genannt.. d) Der Envelop-From (im Falle von Cron Mails z.. B.. root@host) der versendeten E-Mails sollte eine gültige E-Mail Adresse sein.. Insbesondere prüfen E-Mail Server beim Empfang, ob die Domain existiert.. Hier sollte also auch nicht der.. internal Hostname von AWS verwendet werden.. e) Die Domain einer Absender E-Mail Adresse sollten nicht nur gültig sein, sondern mit dem.. SPF Mechanismus (Sender Policy Framework).. kann der Betreiber der Domain auch angeben von welchen Rechnern legalerweise Mails mit dem Absender versendet werden.. Einige Empfänger benutzen das, um das Spamaufkommen zu reduzieren.. In der Regel kommt in der Liste der zugelassenen Server nur die MX Server der Domain vor, und eben nicht beliebige IP-Adressen aus den Amazon AWS Netzen.. Es bietet sich auch nicht an das komplette EC2 Netz in die Liste aufzunehmen, da sonst alle Amazon Kunden wiederum E-Mails am SPF Filter vorbei versenden können (das ist zwar weniger ein Problem aber eben unschön).. Aus diesen Punkten ergeben sich zwar einige Konfigurationen die man vornehmen kann um von einem EC2 Host direkt an Endempfänger Mails zu versenden.. Die Wahrscheinlichkeit dass diese aber häufig als Spam erkannt werden ist groß.. Deshalb ist es anzuraten, dass ein Smarthost verwendet wird.. (Das hat auch administrative Vorteile wenn die EC2 Hosts Ihre Mails schnell loswerden und man nicht mehrere Mailwarteschlangen überwachen muss).. Um kein eigenes Relay betreiben zu müssen bietet es sich z.. an den Simple E-Mail Service (SES) von Amazon zu verwenden.. Dann muss man nur die SES E-Mail Server von Amazon AWS zusätzlich in die SPF Liste der Absenderdomain aufnehmen.. Dies ist hier beschrieben:.. http://docs.. amazonwebservices.. com/ses/latest/DeveloperGuide/SPF.. html.. Im Gegensatz zum kompletten IP-Subnetz von Amazon EC2 hat man bei dieser Vorgehensweise den Vorteil, dass Amazon ein hohes Interesse daran hat, dass nur autorisierte Benutzer die Absenderadresse verwenden.. (Gleiches gilt übrigens auch für Google App Engine, hier kann man auch Mail Relays in die SPF Liste aufnehmen).. Zudem kann man sich danke Amazon IAM ein Benutzername/Passwort erzeugen der außer dem E-Mail Versand keine weiteren Rechte hat.. Dieser kann man dann bedenkenlos im EC2 Image hinterlegen - zumindest solange man dieses nicht mit anderen Amazon Anwendern teilt.. Sonst bietet es sich eher an diese Credentials beim Start mit anzugeben.. Im nächsten Post beschreibe ich, wie man bei einem AMI auf Basis von Amazon Linux diese Varianten realisieren kann.. Trackback (1).. Amazon EC2 ist ein IaaS Anbieter bei dem man eigene virtuelle Systeme starten kann.. Um sicherzustellen, dass die E-Mails die von einem Amazon EC2 System abgeschickt werden auch ankommen, und nicht in Spam Filter der Provider hängenbleiben sind folgende Punkte zu beachten: a) wenn man einen Mailserver (MTA) verwendet der die Mails versendet so sollte dieser natürlich sicher konfiguriert sein, und kein Relaying von E-Mails zulassen - da sonst der EC2 Server zur Spamschleuder wird (was nicht nur Ärger mit Amazon nach sich zieht).. internal Domain wird von vielen E-Mail Em.. SSL/TLS BEAST Lücke.. 10:49.. Samstag, 3.. Im September 2011 haben die Sicherheitsforscher Duong und Rizzo.. nachgewiesen.. , dass eine - seit.. 2002 bekannte.. und in TLS 1.. 1 behobene - Schwachstelle in den SSL 3.. 0 und TLS 1.. 0 Verschlüsselungsprotokollen nicht nur theoretisch ist, sonder wirklich ausgenutzt werden können.. Unter bestimmten Bedingungen erlaubt diese Schwachstelle einem Angreifer Teile aus einer SSL/TLS geschützten Übertragung zu ermitteln.. Gezeigt wurde dies am Beispiel eines abgefangenen paypal http Session Cookies, was erlaubte eine Browser Sitzung zu übernehmen.. Das Problem ist unter dem Namen „BEAST“ (Browser Exploit Against SSL/TLS) bekannt, und wird unter der Common Vulnerability ID.. CVE-2011-3389.. geführt.. Bei der Demonstration wurde ein Java Applet verwendet um die notwendigen Daten einzuschleusen, nach Duong/Rizzo es soll aber auch mit WebSockets oder JavaScript XHR Aufrufen möglich sein.. Dies zugrundeliegende kryptografische Schwäche ist  ...   Betrachtung von Bedrohun.. IPv6 default address selection in Java.. 05:59.. Dienstag, 28.. Juni 2011.. Da bei IPv6 Nodes (also Rechner und andere Teilnehmer an einem Netzwerk) schon konzeptionell mehrere Adressen haben ist die Auswahl welche Quell- und Zieladresse verwendet werden soll eine wichtige Funktion.. Insbesondere dann wenn ein Rechner im Dual-Stack Betrieb sowohl IPv4 als auch IPv6 Adressen erreichen kann.. Bei IPv6 kann jedes Netzwerkinterface mehrere IPv6 Adressen haben, die dann entweder in unterschiedlichen Bereichen (Scopes) genutzt werden können (localhost, link, site, global) oder die unterschiedliche Bevorzugt (valid, prefered) sind.. Durch die Unterstützung von Renumbering (stateless autoconfiguration) haben Adressen unterschiedliche Lebenszeiten.. Zudem gibt es Adressen die über eine Migrations-/Tunnel Technologie wie Toredo, ISATAP oder 6to4 bereitgestellt werden, und nicht immer benutzt werden sollen.. Idealerweise würde eine Anwendung oder das Betriebssystem alle möglichen Quell/Ziel-Adresskombinationen ermitteln, und alle (aussichtsreichsten zuerst) durchprobieren.. RFC 3484.. beschreibt ein Verfahren für die.. Default Address Selection für IPv6.. Der von Microsoft Research verfasste Entwurf gibt Regeln vor wie die Auswahl von Ziel- und Quelladressen zu geschehen hat, und definiert auch eine Möglichkeit dass der Administrator eines Systems eigene Gewichtungen definieren kann.. Ideal wäre eine Laufzeit Funktion, der man einen Hostnamen übergibt, und die dann die Verbindung zur Gegenstelle herstellt und dabei alle Regeln des RFC 3484 (und dringend notwendiger.. zukünftiger Verbesserungen.. ) beachtet.. Durch die Trennung zwischen Kernel und Usermode, und aus Gründen der Kompatibilität mit existierendem Netzwerkcode verwenden die meisten* Systeme allerdings ein anderes Verfahren.. Bestehende Funktionen wie z.. getaddrinfo(3).. wurden erweitert: die Auflösung von Hostnamen in Adressen liefert jetzt eine nach Präferenzen sortierte Liste der Zieladressen zurück.. Dabei greift die Bibliotheksfunktion auf Adress- und Routinginformationen des Kernels zurück.. Denn es müssen für jede zurückgelieferte Zieladresse auch die potentiellen Quelladressen bestimmt und bewertet werden.. Unter Windows kann die Sortierung mit der prefixpolicy (.. netsh.. exe interface ipv6 show prefixpolicies.. ) angezeigt werden.. Linux Systeme speichern die Konfiguration in /etc/gai.. conf, aktuelle Einstellungen können mit dem iproute2 Paket angesehen werden (.. ip addrlabel.. Das ganze ist im Kernel und der.. glibc.. implementiert.. Auch bei Java wurde kein komplett neues Verfahren für den Verbindungsaufbau für IPv6 definiert**.. Die Anwendung selbst ist dafür zuständig alle möglichen Zieladressen der Reihe nach durchzuprobieren.. Wenn die Anwendung keine Quelladresse angibt (was sie vermeiden sollte) so wird dann der Kernel für jeden der Zieladressen eine Quelladresse auswählen.. Wenn eine Adresse nicht erreichbar ist, so muss die nächste Adresse verwendet werden.. Wenn alle Adressen nicht erreichbar sind, so sollte eine Fehlermeldung zurückgegeben werden die alle probierten Zieladressen benennt und den ersten (oder alle) Fehlermeldungen benennt.. Beispielhaft kann dies so aussehen:.. Socket connectToHost(String host, int port) throws UnknownHostException, SocketException { IOException firstException = null; InetAddress[].. addressArray = InetAddress.. getAllByName(host).. ;.. for(InetAddress addr : addressArray).. { try {.. return new Socket(addr, port).. ; } catch (IOException ex) { if (firstException == null) firstException = ex; } } // build informative error message StringBuilder msg = new StringBuilder("Unable to connect to host="); msg.. append(host); msg.. append(" port="); msg.. append(String.. valueOf(port)); msg.. append(" ["); for(int i=0;i addressArray.. length;i++) { if (i != 0) msg.. append(','); msg.. append(addressArray[i]); } msg.. append("]: "); msg.. append(firstException.. getMessage()); SocketException se = new SocketException(msg.. toString()); se.. initCause(firstException); throw se; }.. Dieser Code überlässt die Auswahl einer Quelle dem Kernel (es werden also nicht alle möglichen Kombinationen durchprobiert).. Ebenso ist kein Handling für Timeouts enthalten, und ein Cache der Verbindungszustände erinnert oder gar ein paralleler Aufbau zu mehreren Zielen ist noch nicht enthalten.. Trotzdem ist der Code schon recht komplex, sollte also nicht mehrfach implementiert werden müssen.. Von.. InetAddress.. getByName(String host).. würde ich auf jeden Fall Abstand nehmen.. Diese Methode gibt nur die bevorzugte Addresse zurück, und führt bei DualStack Anwendungen dazu, dass nicht IPv6 und IPv4 Adressen durchprobiert werden.. * Microsoft ist typischerweise Entwicklerfreundlicher und muss weniger Rücksicht nehmen auf etablierte APIs, deswegen gibt es die Funktion.. WSAConnectByName().. die alle Addressen selbst durchprobiert.. ** Java kennt.. Socket(String name, int port).. , dieser Konstruktor verwendet aber keine Schleife um alle möglichen Adressen zu kontaktieren.. Idealerweise würde eine Anwendung oder das Betriebssystem alle möglichen Quell/Ziel-Adresskombinationen ermitteln, und alle (aussichtsreichsten zuerst) durchpr.. Windows 7 hosts-file ignoriert IP Addressen mit 0 prefix.. 03:58.. Freitag, 24.. Mir ist gerade zufällig aufgefallen (als ich diesen.. Bugreport.. nachgestellt habe) dass Windows 7 IPv4 Address-Einträge die eine führende 0 haben im hosts file ignoriert:.. C:\Windows\system32>echo 9.. 20.. 187.. 0.. 6 TestHost >> %SystemRoot%\system32\Drivers\etc\hosts C:\Windows\system32>ipconfig /displaydns | find "A-Eintrag" AAAA-Eintrag.. : 2001::1 AAAA-Eintrag.. : fe80::20d:60ff:fe49:47 AAAA-Eintrag.. : 2001::2 (Host-)A-Eintrag.. : 9.. 96 C:\Windows\system32>echo 9.. 6 TestHost >> %SystemRoot%\system32\Drivers\etc\hosts C:\Windows\system32>ipconfig /displaydns | find "A-Eintrag" AAAA-Eintrag.. 96.. (Host-)A-Eintrag.. Mir ist gerade zufällig aufgefallen (als ich diesen Bugreport nachgestellt habe) dass Windows 7 IPv4 Address-Einträge die eine führende 0 haben im hosts file ignoriert: C:\\Windows\\system32>echo 9.. 06 TestHost >> %SystemRoot%\\system32\\Drivers\\etc\\hosts C:\\Windows\\system32>ipconfig /displaydns | find \"A-Eintrag\" AAAA-Eintrag.. 96 C:\\Windows\\system32>echo 9.. 6 TestHost >> %SystemRoot%\\system32\\Drivers\\etc\\hosts C:\\Windows\\system32>ipconfig /displaydns | find \"A-Eintrag\" AAAA-Eintrag.. 96 (Host-)A-Eintrag.. 6.. jarsigner mit Tokens.. 23:37.. Donnerstag, 2.. Um Java Applets und JAR Files zu signieren nutzt man den jarsigner, der normalerweise ein Java-Keystore (.. jks) file nutzt.. Es ist allerdings ungünstig Codesigning Zertifikate einfach so in Files herumliegen zu haben (auch wenn man diese gesondert sichert).. Es ist anzuraten ein Zertifikat besser in einer SmartCard oder einem Token zu speichern.. Der Oracle jarsigner.. exe verwendet die Java Security Provider der JCE API.. Um damit ein Hardware Token anzusprechen gibt es im wesentlichen 2 Methoden.. Entweder den PKCS#11 Provider (benötigt eine PKCS#11 library (.. dll oder.. so) des Hardwareherstellers) oder unter Windows den Microsoft CryptoAPI (MSCAPI) treiber.. Letzteres hat den Vorteil dass die meisten Smartcards unter Windows 7 oder 2008 bereits Treiber beim einstecken installieren.. Diese Minitreiber sind nur begrenzt nutzbar, aber für das signieren reicht es aus.. Bei meinen Versuchen habe ich aber einige Einschränkungen gefunden:.. Es wird Java 5,6 oder 7(>b144) benötigt.. Ich habe nur die Java Distribution von Sun/Oracle getestet.. In der 64bit Variante wird der Provider aktuell nur von Java 7 ausgeliefert.. Über MSCAPI wird immer in getrenntem Dialog nach PIN gefragt.. Anbei Beispielbefehle zum auslesen des Keystores (in dem auch das Codesigning Zertifikat das auf dem USB Token gespeichert ist sichtbar ist) sowie dem Signaturvorgang:.. c:\Program Files (x86)\Java\jdk1.. 0_24\bin>keytool -list -storetype Windows-MY Keystore-Typ: Windows-MY Keystore-Provider: SunMSCAPI Ihr Keystore enthält 4 Einträge.. FIRMA AG, PrivateKeyEntry, Zertifikatsfingerabdruck (MD5): 57:EF:97:04:EA:91:EE:FF:CF:BF:7F:75:AE:E1:A2:7D.. 0_24\bin>jarsigner.. exe -storetype Windows-MY %TEMP%\test.. jar "FIRMA AG".. Als Speicher für die Zertifikate verwende ich ein.. Athena ASEKey Crypto Token.. in das ich mit den Athena IDProtect Tools auf einem anderen Computer das.. Codesigning Zertifikat von Verisign.. (Promo:WINQUAL99) importiert habe.. Das Zertifikat ist übrigens ein Authenticode Class 3 Zertifikat das es aktuell für Teilnehmer am Microsoft WinQual Programm für ein Jahr günstig ($99) gibt.. Entgegen den Angaben von Verisign lässt sich dieses auch problemlos für Java Signig verwenden.. Einziges Problem bei der Sache, mit -storepass oder -keypass lässt sich die PIN für die SmartCard nicht angeben, diese fragt immer mit einem Popup nach entsprechender Freigabe.. Ich habe in den Athena Tools keine Möglichkeit gefunden diese abzuschalten (allerdings geht es mit der PKCS#11 API, wie ich im nächsten Beitrag berichten werde).. 0_24\bin>jarsigner -verify -certs -verbose %T EMP%\test.. jar 134 Thu Jun 02 23:27:48 CEST 2011 META-INF/MANIFEST.. MF 258 Fri Jun 03 00:04:02 CEST 2011 META-INF/FIRMA_AG.. SF 4764 Fri Jun 03 00:04:02 CEST 2011 META-INF/FIRMA_AG.. RSA 0 Thu Jun 02 23:23:38 CEST 2011 META-INF/ sm 15104 Sun Mar 06 04:56:06 CET 2011 jarsigner.. exe X.. 509, CN=FIRMA AG, OU=Software Development, OU=Digital ID Class 3 - Microsoft Software Validation v2, O=FIRMA AG, ST=Baden-Wuerttemberg, C=DE [certificate is valid from 21.. 12.. 10 01:00 to 22.. 11 00:59] X.. 509, CN=VeriSign Class 3 Code Signing 2010 CA [certificate is valid from 08.. 02.. 10 01:00 to 08.. 20 00:59] [KeyUsage extension does not support code signing] X.. 509, CN=VeriSign Class 3 Public Primary Certification Authority - G5 [certificate is valid from 08.. 11.. 06 01:00 to 17.. 07.. 36 01:59] [KeyUsage extension does not support code signing] s = signature was verified m = entry is listed in manifest k = at least one certificate was found in keystore i = at least one certificate was found in identity scope jar verified.. Ich habe das ganze gerade mit der b144 von Java 7 getestet, und damit lassen sich sowohl mit 32bit als auch mit der 64bit Version der MSCAPI Provider für die Signatur von JAR Files via Smart Token nutzen.. Bei meinen Versuchen habe ich aber einige Einschränkungen gefunden: Es wird Java 5,6 oder 7(>b144) benötigt.. Ich habe n.. Hardware Security.. 01:58.. Freitag, 13.. Mai 2011.. Kris weißt in einem.. Tweet.. auf eine Diskussion zum Thema Sicherheit von Management-Adaptern hin.. Im konkreten Fall wurde vermutet dass ein BMC (Der Mikro-Controller der die IPMI Schnittstelle bereitstellt) Spam Mails versendet hatte (nachdem er kompromittiert wurde).. In dem Forum wird nicht klar, ob es wirklich der Fall ist und welche Schwachstelle dabei verwendet wurde.. Aber in den Kommentaren sind einige sehr bedenkliche Meinungen und Vorgehensweisen zu entdecken:.. Management Adressen (SSH, HTTP, Remote-IPMI) werden von einzelnen Admins absichtlich im öffentlichen Netz zugänglich betrieben - oder aus Versehen aus Unkenntnis.. Hersteller der BMCs installieren keine oder unsichere Default-Passwörter.. Generell waren die Admins der Meinung dass BMCs gar nicht die Ressourcen haben um Spam zu versenden, und es wird unterstellt die Firmware auf den Controllern sei unbedingt sicher.. Das ist natürlich eine naive Annahme.. Auf den BMC Mikro-Controllern läuft ein Betriebssystem mit vollem IP-Stack und Anwendungsprozesse (Web Server, SSH Daemon, IPMI Agent, Shell/Menu) und diese können natürlich falsch konfiguriert werden oder verwundbar sein.. Die IPMI Firmware wird oft von Administratoren vernachlässigt, weil es nicht in den normalen Update Prozessen des Betriebssystems integriert ist.. Ich sehe folgende Punkte für den Betrieb von Servern mit Management Adaptern (oder Lights-Out Karten) als wichtig an:.. Firmware des BMC in den Update/Patch Prozess aufnehmen.. Mittels physischer Ports oder VLANs BMC in getrenntem Management LAN betreiben.. Zugriff auf Management LAN beschränken, nur über sichere Hops zugreifen lassen.. Server provisioning Prozedur muss sichere Konfiguration der BMC Adapter beinhalten (Zertifikate, Passwörter, User, evtl.. SSO, WoL Secret.. Verzicht auf Produkte die keine Netzwerksicherheit (Verschlüsselung) bieten.. Generell kann man sagen, der Remote-Zugriff auf BMC Funktionen ist vergleichbar mit physikalischem Konsolen-Access (besonders dann wenn hier auch Consolas und Laufwerke gemapped werden können).. Kris weißt in einem Tweet auf eine Diskussion zum Thema Sicherheit von Management-Adaptern hin.. Aber in den Kommentaren sind einige sehr bedenkliche Meinungen und Vorgehensweisen zu entdecken: Management Adressen (SSH, HTTP, Remote-IPMI) werden von einzelnen Admins absichtlich im öffentlichen Netz zugänglich betrieben - oder aus Versehen aus Unkenntnis.. Auf den BMC Mikro-Controllern läuft ein Betriebssystem mit voll.. vorherige Seite.. (Seite 2 von 18, insgesamt 179 Einträge)..

    Original link path: /categories/4-Vernetzung/P2.html
    Open archive

  • Title: Vernetzung - Einträge für September 2013
    Descriptive info: Einträge für September 2013.. Keine Einträge vorhanden.. (Seite 1 von 1, insgesamt 0 Einträge)..

    Original link path: /archives/2013/09/C4.html
    Open archive

  • Title: Vernetzung - Einträge für August 2013
    Descriptive info: Einträge für August 2013..

    Original link path: /archives/2013/08/C4.html
    Open archive

  • Title: Vernetzung - Einträge für Juli 2013
    Descriptive info: Einträge für Juli 2013..

    Original link path: /archives/2013/07/C4.html
    Open archive

  • Title: IT Blog
    Descriptive info: 5 Einträge.. 6 Einträge.. 8 Einträge.. 10 Einträge.. 9 Einträge..

    Original link path: /archive/C4
    Open archive

  • Title: HP-UX Development in the Cloud with HP ClOE - IT Blog
    Descriptive info: Ansicht der Kommentare: (Linear |.. Verschachtelt.. ).. Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!.. Cloud Operating Environment.. (CLOE).. [160].. HP-UX Porting and Archive.. Centre.. [133].. [141].. [145].. com/V2/G.. etDocument.. aspx?docname=c03201.. 145.. [171].. [180].. [22].. t.. co..

    Original link path: /index.php?url=archives/498-HP-UX-Development-in-the-Cloud-with-HP-ClOE.html&serendipity[cview]=linear
    Open archive

  • Title: HP-UX Development in the Cloud with HP ClOE - IT Blog
    Original link path: /index.php?url=archives/498-HP-UX-Development-in-the-Cloud-with-HP-ClOE.html#feedback
    (No additional info available in detailed archive for this subpage)

  • Title: Facebook Events im Google Kalender - IT Blog
    Descriptive info: Screenshot Facebook Event.. Export.. [18].. at..

    Original link path: /archives/481-Facebook-Events-im-Google-Kalender.html
    Open archive



  •  


    Archived pages: 629