Herzlich willkommen!

Auf meiner privaten Webseite finden Sie Workshops und Informationen rund um Linux, Details und Erklärungen zum Internet, Sicherheitsanalysen und Sie können chatten. Daneben stelle ich nützliche Tools vor, um sich durch die Windows-Welt zu schlagen. Außerdem können Sie einen Newsletter abonnieren und sich kleinere Programme und Skripte für Linux und auch Windows herunterladen. Nachfolgend finden Sie zudem verschiedene Neuigkeiten aus dem Linux- und Open-Source-Bereich - und natürlich was mich sonst alles bewegt und gerade beschäftigt.

3. März 2015: Heute Abend hat mir der "Director of Technical Services" der ICANN, Kim Davies, eine E-Mail geschrieben - und zwar eine Antwort auf meine initiale E-Mail an die IANA am vergangenen Wochenende. Bei meinen Arbeiten an GNU jwhois habe ich entdeckt, dass der WHOIS-Server whois.iana.org für 100.64.0.0/10 eine falsche Antwort zurückliefert: Statt einem Verweis auf RFC 6598, also einen sogenannten "special-use IPv4 address block", wird ein Verweis auf die ARIN ausgegeben bzw. es findet eine Weiterleitung zum WHOIS-Server der ARIN statt. Zwar meldet der WHOIS-Server der ARIN zurück, dass es sich um einen besonderen IPv4-Bereich handelt, jedoch handelt es sich dabei meines Erachtes um einen Fehler der von der IANA korrigiert werden sollte - und Kim Davies stimmt mir dabei zu. Die IANA setzt übrigens keinen Open-Source-WHOIS-Server ein sondern leider eine (proprietäre) Eigenentwicklung da man wohl Daten aus vielen verschiedenen internen Quellen ermittelt und für die Ausgabe im WHOIS aggregiert.

28. Februar 2015: Vor knapp einer halben Woche hat Jonas Öberg meinen Pull Request für jwhois gemerged. In diesem waren maßgeblich diverse ältere Änderungen meinerseits enthalten die bislang nur als Downstream-Patches bei Fedora existierten. Da ich dieses Wochenende fleißig war, existiert nun ein neuer Pull Request. Dieser fügt die WHOIS-Server für alle derzeit vorhandenen sogenannten new gTLDs ein, aktualisiert bestehende WHOIS-Server gemäß der Liste der IANA und fügt zudem einige fehlende ccTLDs ein. Auch diesmal sind wieder ein paar WHOIS-Server für inoffizielle SLDs dazugekommen und ich habe die Liste der IPv4- und IPv6-Blöcke mit den zugehörigen WHOIS-Servern maßgeblich aktualisiert - bei den IPv4-Blöcken erwarte ich für die Zukunft noch einige Änderungen und Redelegationen während die riesigen IPv6-Blöcke für die RIRs vermutlich relativ unspektakulär bleiben dürften. Was mir zur Zeit noch sorgen bereitet sind die IPv4-Blöcke der NIRs, denn diese IPv4-Blöcke sind völlig zerschnitten und kreuz und quer über die RIR-Blöcke verteilt...

22. Februar 2015: Gestern Abend war ich im Metropol der Innenstadtkinos in Stuttgart und habe den Kinofilm "Blackhat" gesehen. In dem Film geht es um einen US-amerikanischen Hacker, der chinesischen Ermittlern bei der Suche nach einem kriminellen Hacker (also Black-Hat) hilft, der unter anderem einen Cyberangriff auf ein chinesisches Atomkraftwerk durchgeführt hat. Als Computer-Freaks haben wir natürlich genauer hingesehen, so tauchten beispielsweise die Bash, whois, ssh, mount und ein bootendes Red Hat Enterprise Linux (oder Derivat) auf. Ein bisschen seltsam finde ich, dass während der Handlung des Films auch Daten auf ein Medium mit dem NTFS-Dateisystem kopiert wurden. Ebenfalls Erwähnung findet das Tor-Netzwerk, jedoch wurde bei der Bedeutung etwas übertrieben. Die IPv4-Adressen wirken dafür jedoch plausibel und sind zumindest gültig - leider konnte ich mir diese so schnell nicht merken. Wie man ganz am Ende des Films an einem Geldautomaten am Flughafen in Jakarta (zumindest wirkt es so) allerdings Euro-Banknoten abheben kann erschließt sich mir keineswegs.

21. Februar 2015: Seit 1,5 Wochen habe ich nun auch einen GitHub-Account. Eigentlich hatte ich ja gehofft um den Trend herumzukommen bei jedem Hosting-Dienst für Software-Entwicklungsprojekte einen Account anzulegen, aber nachdem das mir persönlich wichtige GNU-Projekt jwhois am 7. Januar 2015 den Wechsel von Savannah auf GitHub angekündigt hat, ist das nun vorhersehbar gewesen. Inzwischen habe ich einen größeren Patch für jwhois, eine Sicherheitskorrektur für zarafa-webapp-passwd, eine Sicherheitskorrektur für zarafa-ldap-passwd und einen Patch für einen RFC-Verstoß in emailverifier vorgeschlagen. Daneben habe ich mehrere Probleme im neuen FedMsg Notification (kurz: FMN) des Fedora Projects gemeldet. Insgesamt gibt es derzeit 22 Contributions meinerseits bei über 10 verschiedenen Projekten auf GitHub - zukünftige Contributions sind nicht auszuschließen...

20. Februar 2015: Seit Mitte Januar 2015 bin ich Mageia-Contributor. Die Linux-Distribution Mageia ist eine Abspaltung von Mandriva Linux, die seit September 2010 existiert - also noch ein relativ junges Projekt. Dabei bin ich dem Fedora Project keineswegs untreu oder gar abtrünnig geworden, aber zwei Bugreports, die ich zufälligerweise entdeckt habe, haben mich handeln lassen: Im ersten Bugreport ist das gemeldete Problem, dass der Zarafa WebAccess in Verbindung mit Apache 2.4 bzw. durch ein fehlerhaftes Unbundling von Bibliotheken nicht benutzbar ist, im zweiten Bugreport geht es um die von mir entdeckte Schwachstelle CVE-2014-9465 und dass Zarafa wohl leider gar nicht auf die E-Mail-Anfragen des Mageia-Maintainers reagiert hat. Da mir die beiden Problematiken bekannt sind, habe ich die in Fedora verwendeten Patches übernommen, teilweise noch angepasst und dem Mageia-Maintainer zur Verfügung gestellt. Das Security Advisory von Mageia verweist auf mein Security Advisory und hat wohl sogar MITRE dazu veranlasst es im CVE-2014-9465 direkt nach der CVE-Anfrage zu referenzieren!

8. Februar 2015: Das Team um den freien Webmailer Roundcube hat heute die Version 1.1.0 freigegeben - etwa 10 Jahre nach dem allerersten Alpha-Release von Roundcube. Was mich sehr freut ist, dass es "mein" Feature "Stronger password encryption using OpenSSL" in die offizielle Liste der Features geschafft hat! Eigentlich wollte ich nur mein System frei von der PHP-Erweiterung mcrypt sehen, habe dann einen Patch geschrieben und bei den Roundcube-Entwicklern eingereicht. Optisch hat mein Patch den Entwicklern wohl eher weniger zugesagt, eine überarbeitete Fassung ist letztendlich committed worden, allerdings mit OpenSSL als Standardfunktionalität und mit mcrypt nur noch als Fallback. Eine weitere zentrale Neuerung in Roundcube 1.1.0 ist die Funktion, dass gleichzeitig mehrere Ordner durchsucht werden können. Das hört sich für viele vielleicht selbstverständlich an, ist es aber in der Praxis keineswegs - die ein oder andere Groupware unterstützt nicht einmal eine ordnerübergreifende Suche. Doch da Kolab als Groupware das Roundcube als Standard-Client verwendet, achtet man eher auf solche Dinge...

31. Januar 2015: Vor einigen Minuten habe ich mein schon seit einiger Zeit vorbereitetes Security Advisory 2014-0011 mit dem Titel "SSLv3 limit in Zarafa Outlook Client" veröffentlicht. Am 2. April 2014 habe ich im Rahmen von Tests zu meinem Patch für den Zarafa-Server um SSL-/TLS-Einstellungen wie Protokoll-Version und Cipher Suite konfigurierbar zu machen entdeckt, dass der proprietäre Zarafa Outlook Client, der für die MAPI-basierte Anbindung von Microsoft Outlook an Zarafa verwendet wird, ausschließlich SSLv3-Verbindungen unterstützt und Zarafa als Hersteller darüber informiert - das war übrigens noch lange vor Bekanntwerden der SSLv3-Schwachstelle POODLE. Mit dem ersten Beta-Release von Zarafa 7.2 (Anfang Dezember 2014) ist nun die lang geplante Änderung in den Zarafa Outlook Client eingeflossen und inzwischen wird auch TLSv1.0 als Transportverschlüsselung unterstützt.

28. Januar 2015: Gestern Abend hat Zarafa die WebApp 2.0 als finale Version veröffentlicht. Bei den Neuerungen seit der WebApp 1.6 werden ein neuer HTML-Editor (ein Update von TinyMCE), verbesserte Unterstützung für Plugins und ein Plugin für Dateihandling (basierend auf SabreDAV) angeführt. Weitere Plugins sind wohl in Entwicklung, allerdings findet diese nicht öffentlich statt - was zu einer Open-Source-Software meines Erachtens eher nicht passt. Ich kann verstehen und nachvollziehen, dass man die Spannung aufrecht erhalten möchte, aber sollte der aktuelle Slogan "Zarafa is not only a product...we are a community" auf der Zarafa-Webseite nicht für eine aktive und offene Einbindung der Community stehen? Andererseits ist die WebApp 2.0 meines Erachtens nicht fertig, so fehlt z.B. weiterhin die Möglichkeit für Themes (die es im älteren bzw. abgekündigten WebAccess gibt). Ein weiterer Wermutstropfen: Die Zarafa WebApp 2.0 ist für die von mir im August 2014 entdeckten Schwachstellen CVE-2014-5447 und CVE-2014-5449 verwundbar; immerhin wurde die Schwachstelle CVE-2014-9465 jetzt geschlossen.

27. Januar 2015: Im Community-Forum von Zarafa wurde am 16. Januar 2015 ein Thread dazu eröffnet, Pro-Linux hat am 26. Januar 2015 darüber berichtet und auf Heise ist es seit heute zu finden: Zarafa stellt die Unterstützung von Microsoft Outlook und EWS zum 31. März 2016 ein. Hintergrund dafür ist wohl ein Strategiewechsel um nicht Microsoft hinterher zu programmieren sondern um die Zukunft aktiv mitzugestalten. Grundsätzlich sehe ich die Zukunft ebenfalls im Web, allerdings wundere ich mich sehr warum dafür die Outlook-Unterstützung schon jetzt auf der Strecke bleibt - zumal die Outlook-Unterstützung meines Erachtens das maßgebliche Verkaufsargument für Zarafa gewesen sein müsste. Die würdige Nachfolge soll die Zarafa WebApp antreten, allerdings sehe ich das zum aktuellen Zeitpunkt eher kritisch: Es gibt Benutzer die Outlook zwingend benötigen, da es durch Plugins für CRM, DMS, CTI oder einfach nur mit S/MIME mit und Kartenlesegerät zu einer "Middleware" gemacht wird. Ein richtiger Offline-Modus (für 10 oder gar 20 GB E-Mails) dürfte selbst mit HTML5 und localStorage nicht realisierbar sein, Caching sucht man in der WebApp derzeit sowieso vergebens. Das fehlende responsive Webdesign für die Nutzung auf mobilen Geräten zeigt zudem, dass es sich bei der Zarafa WebApp bislang leider um keine richtige "App" handelt...