Sie sind hier: Zentrale
Unterthemen: Aktuell in Entwicklung | Homepages | Werkzeuge | Server-Administration | Beruf | Freizeit | Planer
 Harry Boeck - Heimserver
Stand: 2016-04-18 06:58

Wikileaks Mirrors

Harry Boeck - Heimserver / öffentlicher Bereich

Herzlich willkommen auf meinem Heimserver!

Aktuell in Entwicklung

Freigabe des Berufefinders
2015-08-01
Nach reichlich 2 Monaten Entwicklung mit immer neuen Extrawünschen ist ein Projekt bei meinem derzeitigen Arbeitgeber auf der Stufe der Vorzeigbarkeit angelangt: der Berufefinder. Inzwischen hat er auch seine eigene Domaine erhalten: Berufefinder.com
Wir haben die aktuelle, von der Arbeitsagentur normierte Berufe-Datenbank Deutschlands (mit Normierungsstand 2010) vom Berufe-Net aus deren Download-Portal gezogen und mit den im Portal des Berufenet zugänglichen (ebenfalls normierten) Verknüpfungen zu Kompetenzprofilen der Berufe nutzbar gemacht.

Kein einziges sonst im Netz zu findendes Portal dieser Art bietet diese Verknüpfung (zwischen Berufen und deren normierten Kompetenzprofilen) an. Das höchste der Gefühle ist die Verknüpfung zwischen allgemeinen, groben und nicht normierten Attributen, wie wir sie in unserem Berufefinder als "Vorauswahl" eingebunden haben, sowie die Verknüpfung mit allgemeinen "sozialen Kompetenzen" und "allgemeinen Fähigkeiten", wie sie zum Beispiel im Portal "berufe-universum.de" zu finden ist. Unser Berufsfinder geht über diese zaghaften Ansätze einer menügeführten Berufsempfehlung weit hinaus, indem die gesamte von der Arbeitsagentur erarbeitete Norm-Datenbasis einschließlich der original nur als PDF herausgegebenen Wälzer zu Kompetenzprofilen für normale Bürger sinnvoll nutzbar gemacht wird.

Angereichert haben wir diese Unterstützung zur Berufssuche um eine Jobsuche im lokalen Umkreis des Nutzers ("mit zwei Klicks aus dem Browserstart zum täglichen persönlich profilierten Jobangebot") und um eine Unterstützung von Bewerbungen mit einem Kompetenzprofil. Außerdem sind natürlich die originalen Berufsbeschreibungen im "Berufenet" verlinkt. Viel Spaß!

Ein Problem stellt momentan noch die Qualität der "Vorauswahl"-Daten dar: Sie sind weder normiert noch qualitativ hochwertig (sehr viel Redundanz, Wortgruppen in allen möglichen Permutationen und dergleichen datentechnische Scherze), was bei der Nutzung doch recht störend wirken kann. Da sind wir noch am Feinschliff, der sich noch ein paar Monate hinziehen wird, weil da ein menschlicher Jemand die durch Menschen versauten Daten durchkämmen und vom Schrott bereinigen muss.

Bei der allmählich um sich greifenden Anwendung des Geräts zeigt sich auch in den normierten Kompetenzdaten so manche Schwachstelle - zum Beispiel haben laut Ideen der Arge "Helfer Reinigung" nichts mit der Kompetenz "reinigen" zu tun. Andererseits ist die Kompetenz "reinigen" doch für eine ganze Palette von Bedeutungen vorgesehen: Von "Stube putzen" über "Hintern reinigen", "Küche von Ungeziefer reinigen", "Motor reinigen" bis zu "Zahnreinigung" ist so ziemlich alles vertreten, wo Menschen jemals einen Fuß (oder Zahn) hinsetzen. Nur Leute im Beruf "Helfer Reinigung" dürfen da halt keine Kompetenzen vorweisen. Laut Arbeitsagentur.
Eigentlich SCHREIT das Zeug nach einer Art Open-Community-Project, um aus den Daten was Brauchbares zu machen. Aber mein EDV-Chef ist auf den Tod strickt dagegen - angeblich aus der Befürchtung heraus, dass uns da rechtliche Knüppel zwischen die Beine geworfen werden könnten. Womit er hierzulande nicht Unrecht haben könnte...

Ach ja: Google listet das Ding endlich (wenn auch nur mit dem Zusatz "BMD" oder "Neustrelitz"). Danke.
Es macht plötzlich Lust, zwischen den Alternativen zu schlendern: Wie haben andere Leute die Aufgabenstellung angegangen? Wie erfolgreich waren sie mit ihren Konzepten? (Wieviel Nutzen bringen sie den Leuten?)

... Vielleicht sollten wir uns mal mit diesen Jungs hier zusammentun?



2015-10-28
Während ich im Urlaub bin, scheint jemand am Berufefinder herumgebastelt zu haben. Unter seinem Domain-Namen ist er jedenfalls nicht mehr erreichbar. Nur noch ein Standbild.
Fällt das jetzt unter suizidös oder einfach nur dämlich? Sorry. Hab nichts anderes dafür auf Lager.

Umzug mit Vodafone / Kabel Deutschland
2015-07-27
Untertitel: Apokalypse now!

Ich bin zum 01.07.2015 um den Abstand von zwei Häuserblöcken umgezogen.

Knapp zwei Monate vorher hatte ich bei meinem Ansprechpartner-Shop vor Ort die Umschaltung des Anschlusses erbeten. Dort wurde mir aber von den Vodafone-Kundenberatern dringend von der Fortsetzung des Vodafone-Vertrages abgeraten. Von wegen, dass Kabel Deutschland jetzt in Neustrelitz die Versorgung viel besser mache (mein noch ausreichend gesunder Menschenverstand blendete den Nonsense aus: die machen seit eh und je dasselbe). Die Daten, mit denen die Leute mir vor der Nase herumwedelten, versprachen zumindest keine Verschlechterung, dagegen eine langfristig geringfügige Einsparung an Gebühren.

Leider lies ich mich von deren als überaus dringend vorgetragenen Bedürfnis, aus dem Internet-Versorgungs-Geschäft auszusteigen, aus lauter Mitleid dann doch beeindrucken und willigte ein. Nicht ohne zu betonen, den alten Vertrag bei diesem Umzug aber noch nicht zu kündigen, sondern als Reserve weiterlaufen zu lasen, bis der neue Anschluss in der neuen Wohnung gelegt und erfolgreich in Betrieb genommen sei.

Ich hatte nicht mit einem Poststreik gerechnet. Mit der kühlen Atmosphäre am Kundendienst-Telefon dagegen schon... Jedenfalls kam es, wie ich befürchtet hatte: Es kam kein Paket und kein Schreiben von Kabel Deutschland bei mir an. Als es eine Woche vor dem Termin war, fing ich an, im Vodafone-Shop wegen dem ausbleibenden Paket Druck zu machen. Zu diesem Zeitpunkt hatte ich meine alte Wohnung geräumt und den Heimserver zwischendurch bei Verwandten untergestellt.

...Was ich nicht berücksichtigt hatte, war, dass angesichts der bei den Verwandten geringfügig abweichenden IPv4-Adresse die HTTPS-Verbindungen abbrachen. Und weil ich die Verwandten nicht mit Nachtschichten belästigen wollte und in der neuen Wohnung noch kein Internet hatte, bekam ich von den volllaufenden Logs nichts mit...

Die Kundenberater von Vodafone verwiesen mich an die Kunden-Hotline von Kabel Deutschland: SIE hätten nur die Verträge aufgesetzt, deren Bestätigung und die Versendung der Hardware lägen vollkommen im Verantwortungsbereich von Kabel Deutschland. Letzteres sei zwar - vom Geldbeutel der obersten Konzernchefs her gesehen - mit Vodafone verbunden, aber in jeder sonstigen Hinsicht ein komplett eigenständiges Unternehmen, auf dessen Aktionen die Mitarbeiter von Vodafone exakt überhaupt gar keinen Einfluss ausüben könnten.

Soviel zum Marketing-Gekrähe von diesen Spezies.

Die Kundenbetreuung von Kabel Deutschland verwies mich an DHL: SIE hätten das Paket mit der Hardware rechtzeitig zum 01.07. auf den Weg gebracht (was ich zwar als durchaus etwas spät für eine Bestellung ZUM 01.07. ansehe, aber naja - wäre zu verschmerzen). Ansonsten hätten sie keinerlei Einfluss mehr auf das Paket und ich solle mich doch bitte in Geduld üben. Meine Bitte, mit mir gemeinsam den Verbleib des Pakets zu klären, lehnten die Jungs dort rigoros ab.

Erst penetrantes Nachbohren bei einem wiederholten Anruf brachte mir wenigstens die Paketnummer, die die Jungs zunächst nicht rausrücken wollten (DHL muss wohl ein Geheimunternehmen sein?). Deren Verfolgung (über das Internet von Verwandten) ergab, dass das Paket tatsächlich seit dem 01.07. im Paketlager des DHL in Neustrelitz lag und offenbar vor sich hin schimmelte. Ich bekam es mit der Befürchtung zu tun, dass die Jungs das Paket eventuell an meine alte Wohnung geschickt haben könnten - was ich dem durchschnittlichen Service-Mitarbeiter aus vollem Herzen zutraue -, wo es nie mehr ankommen können würde, da die Wohnung inzwischen längst geräumt war und auch kein Namensschild am Briefkasten mehr trug. Aber eine Klärung mit Kabel Deutschland war auch danach noch nicht möglich: Ich solle mich an DHL wenden!

DHL seinerseits lehnte jedwede Klärung außer der Auskunft, die ich auch schon aus dem Internet hatte ziehen können, ab. Einen direkten Kontakt mit dem Paketlager würden sie generell nicht vermitteln.

...Nachdem ich mich dann nochmal eine Woche in Geduld geübt hatte und inzwischen die dritte Juli-Woche nahte (da war ich drei Wochen Internet-zwangs-abstinent), das Paket von Kabel Deutschland aber noch immer kein Lebenszeichen von sich gegeben hatte und auch sonst kein Schreiben eingetrudelt war, entschloss ich mich, bei Vodafone den Umzug meiner alten Leitung in Auftrag zu geben (eigentlich hatte ich sie ja nur noch kündigen wollen, sobald die neue Leitung in Betrieb genommen worden wäre). Die sagten mir dann aber, dass, obwohl es sich nur um das Umleiten des exakt selben Anschlusses auf ein anderes Kabel in exakt demselben Schaltschrank-Schuppen handelte, der genau zwischen meiner alten und neuen Wohnung steht, dieses Umschalten mindestens zwei Wochen in Anspruch nehmen würde. ...Na ja: Dann halt wenigstens nach 5 Wochen Abstinenz endlich wieder Internet!...

Außerdem wollte ich den Antrag auf Umstellung zu Kabel Deutschland kündigen alias stornieren. Da die Leute ja trotz reichlich anderthalbmonatiger Vorbestellung meinerseits auch zwei Wochen nach abgelaufenem Bestelltermin nicht geliefert hatten und keinerlei Willen und Bereitschaft zeigten, irgendeinen Finger krumm zu machen, um mir in irgendeiner Form zu zeigen, dass ich mit der Ankunft des Pakets noch in irgendeiner Quantität von Zeitraum würde rechnen können. Aber dafür fühlten sich die Vor-Ort-Mitarbeiter von Vodafone ein weiteres Mal nicht befugt: Verträge aufsetzen, um Kunden zu verärgern, geht offenbar problemlos und aus dem kalten Stand, aber danach für IRGENDWAS geradestehen, ist denen offenbar völlig unmöglich.

Temporär lebensrettend erwies sich dann ein alter Surf-Stick, den ich im Umzugs-Durcheinander wiederfand. Das "alte" Vodafone-Modem hatte ich ja noch (Easy-Box 904)... Das lies sich aber trotz Anleitung durch einen technischen Kundenbetreuer nicht mit dem Surfstick zur Funktion bringen. Aber ein noch älteres Modem - die Easy-Box 803. DIE funktionierte endlich und auf Anhieb. Das war zwar ein reichlich krückiges Internet wie zu Zeiten des allerersten 1-MBaud-DSL, aber es funktionierte zumindest.
...Ohne den Heimserver. Weil Funk-Internet-Verbindungen noch immer nicht eingehenden Verkehr bedienen. Oder so.

Bezüglich der Kabel-Deutschland-Lieferung beruhigte ich mich wieder, weil der Druck erstmal weg war. Im Laufe der dritten Juli-Woche kam dann endlich ein Schreiben von Kabel Deutschland, wo sie mitteilten, dass immerhin am 05.07. die Zuschaltung des Anschlusses erfolgt war. Und dass nun, da ich bereits "mehrere Wochen vorher" (ähäm...) meine Hardware bekommen hätte, die Berechnung der monatlichen Anschlussgebühren fällig werden würde. Offenbar müssen dringend auch mal die Bankangestellten streiken...

Zum letzten Wochenende im Juli kam dann endlich das Paket tatsächlich noch bei mir an. Da war dann noch eine Hürde zu nehmen wegen IPv6: Im Internet fand ich im Laufe des Abends erstmal nur Aussagen, die alle darauf hinausliefen, dass bei einer Verbindung der Fritzbox mit IPv6 und getunneltem IPv4 nach außen die Fritzbox aus dem Internet nicht erreichbar bleiben würde. Was ich aus technischer Sicht für Nonsense halte: Warum sollte ein Weiterleiten von Datenpaketen AUS was-für-einem-Datenpaket-Format-auch-immer IN was-für-ein-Datenpaketformat-auch-immer in irgendeiner Art behindert sein? Warum sollte man an der einen Strippe nicht ein Paket in IPv6-Verpackung entgegennehmen können und es an der anderen Strippe in IPv4-Verpackung wieder auf die Leitung legen können?
Letztlich erlebte ich dann die technische Hotline von Kabel Deutschland als völlig andere Welt - im krassen Gegensatz zur Kundenbetreuungs-Hotline. Ein Techniker beschrieb mir die Zuweisung einer IPv4 als kostenlos zubuchbares Feature und richtete es kurzerhand ein. Und nach spätestens einem Tag sollte die Buchung abgeschlossen sein und das System genau wie im alten Zustand der Vodafon-EasyBox funktionieren.

Und das tut es jetzt endlich. Damit ist der Server endlich wieder zu Hause betriebsfähig.


Fazit:
Google immer krasser usophob
2015-06-01
Google scheint immer neue Maßstäbe setzen zu wollen in Richtung Benutzerfeindlichkeit.

Es fing vor einer Weile mit dem "neuen" Google Maps an:
Doch das reicht Google ja nicht. Sie müssen zwingend auch alle anderen Dienste versauen, die früher mal perfekt funktioniert hatten...
Das nächste war das Google-Login.
Die Fehlermeldungsfunktion unter Google Maps funktioniert gleichermaßen nicht mehr - und NATÜRLICH gehört eine Verquickung mit dem fucking unfunktionalen Anmeldedialog dazu. Wenn man deren fucking Javascript-verfehlerten "Feedback"-Dialog vor die Nase bekommt, geht von dem aus nichts weiter als auf den Link zum Anmelden zu klicken - aber natürlichst ohne jedwede weitere Reaktion.

Soviel Dreck auf einen Haufen habe ich ... ja, neee, leider sehe ich sowas täglich. Google tritt hier nur wie jede andere Firma auf, die Azubis zum naiven Zusammenklickern ihrer Webseiten antreten lässt.

Wie Microsoft:
Dyndns wird - NICHT! - unbenutzbar (??)
07.05.2014
Dyndns wird ab heute für mich unbenutzbar, weil die nur mit Paypal bezahlt werden wollen und Paypal aber wohl einen viele Fehler auf deren Anmeldeseite für Privatkunden hat: Ich bekomme dort immer eine Aufforderung, mein Geburtsdatum einzugeben, obwohl weit und breit kein Eingabefeld für das Geburtsdatum existent ist. Auch nicht im Quelltext der Seite versteckt. Auch nicht im Javascript-generierten Teil.

Und die E-Mail-Bestätigung funktioniert ebenso nicht: Das Passwort - mit Passwortmaker erzeugt, ohne Sonderzeichen, nur mit US-ASCII und von dort mit copy&paste übernommen, und zwar sowohl für die initiale Einrichtung als auch anschließend für die Email-Bestätigung, und zwar ohne die Sitzung zu verlassen, also ohne dass der Inhalt des Passwortfeldes im Passwortmaker seinen Zustand geändert haben könnte - mithin definitiv unmöglich falsch eingetippt - wird beim Bestätigen abgelehnt. Was für ein gruftiges Portal!

Also: Ich habe mich bemüht, den Jungs von Dyn ihre Bezahlung zukommen zu lassen, die ich mitnichten als überhöht ansehe. Aber mein deutscher Bezahldienstleister rafft es nicht, mir eine funktionsfähige Anmeldung zu ermöglichen.

Dann also Tschüß! Ich wachse meine Hände in Unschuld!

Ab sofort bin ich also unter den DNS-Namen...
erreichbar. Ab sofort (auch wenn Google eventuell meckern wird) mindestens zwei Alternativen! Damit, wenn mal wieder eine davon wegfällt, immer noch eine andere weiter existiert.

Das heißt allerdings auch, dass ich heute neue Zertifikate einrichten muss. Das kommt jetzt weniger gelegen - ich mache das ja nun nicht täglich. Das heißt also, sich wieder mal mühsam durch die - immerhin wenigstens einigermaßen vorbereiteten - Batch- und Konfigurationsdateien wühlen...

Beim Apache muss ich erstmal rauskriegen, wie mehrere Zertifikate für mehrere DNS-Namen nebeneinander eingerichtet werden können. Das wird eventuell etwas Zeit in Anspruch nehmen...
Also: Zwischendurch wird es mal einen Ruckler bei den Zertifikaten geben, das läßt sich jetzt wohl nicht vermeiden...

Außerdem müssen die Scripte zur IP-Aktualisierung angepaßt werden. Auch die hatte ich mal vor Jahren geschrieben und muß mich neu durchbeißen. Na ja, zum Schluß wird's wieder funktionieren...



P.S.: Inzwischen gibt's Updates: Paypal unterstützt nur 20 Zeichen im Passwort. Das haben die aber klammheimlich im Registrier-Dialog verschwiegen. Erst beim Passwort-Zurücksetzen erscheint im Passwortfeld ein Popup, das darüber informiert. Das Urteil bleibt also bestehen: Gruftig!

Ahhh ja: Und beim Versuch, das Passwort zurückzusetzen bekomme ich jetzt auch glatt den Hinweis, dass das von mir soeben neu eingegebene Passwort identisch mit dem alten sei. Und deshalb kein Passwort zurücksetzen möglich sei. Die haben das also vorhin einfach klammheimlich, still und leise abgeschnitten! Grufties!
Jau: Jetzt nochmal den alten Bestätigungs-Link aufgerufen, das verkürzte Passwort eingetippt - und die Bestätigung geht durch.
Das bedeutet also: Deren Bestätigungs-Link-Seite ist in sich doppelt gruftig: Die haben NOCH NICHT MAL inhaltlich auch nur entfernt verwandt zutreffende Fehlermeldungen! Was die da raushauen ist schlicht und ergreifend komepletter Nonsense! Gruftig reicht dafür schon nicht mehr.

Dass die das noch nicht millionanfach um die Ohren gehauen bekommen haben, zeigt noch was viel schlimmeres: Die Masse (so um 99,9999%) aller Deutschen geben sich nicht die Mühe, bei solchen Bezahlservicen (von denen Paypal ja nun mal einer in der ersten Liga ist - von der Masse her, nicht von der Qualität, ja?! Nicht missverstehen!) Passwörter zu wählen, die auch nur ansatzweise in die Gegend von 20 Zeichen Länge kommen. Ein ganzes Jahr NSA-Skandal und fortlaufend massiverer Konten-Hacks ist an der gesamten Nation komplett spurlos vorbeigegangen. Krass geil, sowas!

Kann ich den Jungs von Dyn denn nun endlich ihre 15 Euronen für's Jahr zukommen lassen??...
JETZT ist in dem Dialogfeld zur Kontenregistrierung plötzlich ein Eingabefeld für das Geburtsdatum aufgetaucht! Toll: Die bringen das Dialogfeld also NUR BEDINGT - und zwar unter der Bedingung, dass man VORHER die Bestätigungsmail erfolgreich verarbeitet hatte. Wobei sie aber diese Bedingung wieder mal perfekt verschweigen.

Eh echt, Leutings: Hat bei Euch (Paypal) ÜBERHAUPT IRGENDWER mal sowas wie eine Qualitätskontrolle Eurer Portalseiten gemacht? Anscheinend nicht. Denn bei diesem ERSTEN Versuch meinerseits triggere ich auf JEDER Eurer Seiten mindestens ein Fettnäpfchen. Also etwas, was NICHT VON MIR VERSCHULDET ist, gelle?! Wo ich nichts weiter als völlig unschuldige Handlungen nach bestem Wissen und Gewissen tätige, welche aufgrund von völlig willkürlich gesetzten Grenzwerten von Euch nicht akzeptiert werden, wo Ihr aber diese völlig willkürlichen Grenzwerte komplett verschweigt.
Wenn ICH Euer Chef wäre, hättet Ihr längst aber sowas von Feuer unterm Arsch! Meine Herren!

Gut, die Registrierung des Kontos ist soweit erstmal durchgegangen. Jetzt muß noch ein Überweisungs-Handshake erfolgreich über die Bühne gehen. Wieviele Fettnäpfchen werde ich diesmal triggern?...
Hmmm... Ich ahne schon: Die Überweisung kann dauern... Ich werde wohl in ner Stunde oder so nochmal vorbeischauen, weil ich von meiner Bank eh fortlaufend aus der Sitzung geschmissen werde (die wollen nicht länger als so 5 Minuten angemeldet lassen).

So, die kommen irgendwie mit dem Handshake nicht aus dem Knick. Aber im Kleingedruckten steht da auch, dass der Handshake nicht zwingend Voraussetzung ist, das Konto schon nutzen zu können. Also versuche ich dann mal, die Bezahlung bei Dyn durchzubringen...

Und es scheint geklappt zu haben. Dann bleibt also harryboeck.dyndns.org doch noch für die nächsten Jahre erhalten. Hauptsache, die Firma macht nicht überraschend Pleite. Aber schön, dass heute auch mal was auf Anhieb geklappt hat...
P.S.: Das sind bei denen ja nur 10 Euro pro Jahr... (Hab für 5 Jahre gebucht). OK...

DNS-Auflösung für 'dyndns.org' örtlich gestört...
2014-01-16 12:30
Beginnend am 15.01. treten Probleme beim Zugriff auf Unterbereiche von "dyndns.org" auf. Mein Server ist davon ebenfalls betroffen.

Das Problem ist der Firma "Dyn" bekannt: Seit dem 15.01. laufen offenbar gegen einen bestimmten DNS-Server der Firma in Amsterdam DOS-Angriffe, die den Server immer wieder in die Knie zwingen: http://www.dynstatus.com/dyndns/5860/attack-against-standard-dns-in-ams

Das Problem tritt aber nur auf, wenn bestimmte DNS-Auflösungs-Ketten verwendet werden. Der von meinem Provider "Vodafone" im Router/Modem vorgegebene DNS-Server zum Beispiel leitet an jenen ge-DOS-ten Amsterdamer DNS-Server weiter. Trage ich dagegen einen alternativen DNS-Server im Betriebssystem ein (etwa Googles "8.8.8.8"), funktioniert alles wieder.

Bei momentanen Problemen mit dem Zugriff also der Tipp: Die DNS-Server-Einstellung austauschen! Entweder im Betriebssystem oder im Modem/Router!
Unter Windows z.B. zu finden über:
Systemsteuerung / Netzwerkverbindungen / {aktuell benutzte Verbindung -> Rechtsklick} -> Eigenschaften / 
		Element "Internet-Protokoll" -> Eigenschaften / "Folgende DNS-Serveraddressen verwenden"...
Dort das normalerweise eingestellte Modem/Router eins nach unten schieben und als ersten Server einen der alternativen Server einstellen! (z.B. Googles "8.8.8.8" oder mal kurz Google-suchen nach "alternative DNS-Server"!)

Apache-Kontendaten durch ein Windows-Update zermanscht...
2013-10-12 16:00
Heute Nacht hatte ich ein Windows-Update einspielen lassen. Durch dieses wurden offenbar die Anmeldedaten des Apache-Kontos manipuliert. Und zwar scheinbar NUR die des Apache-Kontos. Denn alle anderen Konten scheinen nach wie vor zu funktionieren.

Das hatte ich in dieser Form allerdings auch noch nie erlebt. Bei all dem Gehacke der staatlichen Geheimdienste kann man glatt zu Verschwörungstheorien neigen: Welchen technischen Hintergrund könnte das Kaputtgehen von Login-Credentials haben, die NICHT auf eine böswillig gezielte Einmischung zurückzuführen sein könnten? Und wie könnte es auf Zufall zurückzuführen sein, daß es ausgerechnet das Apache-Konto getroffen hatte?

Derzeit habe ich keine Erklärung, die "unschuldig" aussieht.

Man könnte natürlich auch gegenfragen: Wie könnte die Manipulation von Login-Credentials mit Gewalt unterbunden werden - alldieweil dieses Windows-Update ja nun auch nicht das letzte gewesen sein wird.
Um dahin zu kommen, wird wohl nichts anderes übrig bleiben, als erstmal rauszukriegen, WAS überhaupt in so einem Fall manipuliert worden ist. Also, Microsoft: Nachdem ich mich jetzt auf die Lauer gelegt habe, schiebt doch bitte noch so ein Update hinterher, ja?!

P.S. (zugegeben lange danach): Damals war das Problem gewesen, dass ich das Apache-Konto bei irgendeinem Experiment mal manuell eingerichtet hatte. Dabei hatte ich übersehen, dass es ein default-Timeout für das Login-Passwort verpasst bekam. Als ich es nach dem Fehler per Script automatisch neu aufsetzen lassen hatte, war ich vom Script darauf hingewiesen worden (ich hatte das einige Jahre vorher ja auch schon mal behandeln müssen), dass ein paar Details der Konteneinstellung noch nicht gescriptet erledigt werden - wozu jenes Timeout gehörte. Irgendwann danach hatte ich es in das Script nachgerüstet. Seitdem ist nie wieder so ein Fehler aufgetreten.
Firefox Version 24 scheint keine Probleme mehr zu haben...
2013-10-12 16:00
Vor ein paar Tagen hatte ich begonnen, Firefox 24 neben dem alten 19er und einer Installation von Version 23 auszuprobieren. Es zeigte sich, daß der 24er die Nutzerdaten von der 19er Version direkt übernehmen kann, ohne kritische Fehler im Betrieb zu zeigen. Auch die Zertifikatsdatenbank funktioniert offenbar ab jetzt wieder tadellos.

Ich habe aber keinerlei Erwähnung in den Upgrade-Beschreibungen gefunden, die irgendwie darauf hindeuten, daß irgendwas in Bezug auf diese Fehlererscheinungen unternommen wurde. Nichtsdestotrotz ist ja nun einfach nachweisbar, daß alle Versionen von 20 bis 23 enorme Probleme mit dem Übernehmen der Konfiguration der 19er Version HABEN, während die 24er Version KEINE Probleme HAT. Solange man nicht an Weihnachtsmann und Osterhasen oder gar Götter glaubt, muß man da ja irgendwo eine handfeste Ursache erwarten. Aber die scheint streng geheim zu sein.

Na ja, Hauptsache, es funktioniert überhaupt erstmal wieder nach 4 Versionen Chaos...

Firefox Updates ab Version 20 verursachen Überschwemmungen mit Fehlern
2013-06-23 10:00 ... 2013-06-24 21:20
Neulich (so um die 1. Juniwoche herum) hatte ich mal wieder versucht, den Firefox zu aktualisieren. Version 20 war vorher seinerzeit ein totaler Reinfall gewesen. Und zwar ohne daß zu dem Zeitpunkt irgendwelche Hilfen im Internet bereitstanden. So daß ich die Version einfach weggelassen hatte.

Version 21 sah nun allerdings keinen Deut besser aus. Ganz im Gegenteil. Ich trage mal zusammen, was alles nicht funktionierte:
Heutiger Update-Versuch: ...Gut, damit kann mir das Wörterbuch nach wie vor den Buckel runterrutschen. Es sind also weiterhin ununterbrochen zweiein kritisches Elemente (eines davon essentiell für grundlegende Funktionalität, das andere für die Systemsicherheit) nicht zur Funktion zu bringen. Und es scheint auch keinen Menschen zu geben, der ähnlichen Problemen begegnet ist. Da es außerdem bislang keinen passenden Eintrag in der Knowledge-Base gibt und eine Erklärung zur inneren Funktion sowieso völlig jenseits jeder Wunschvorstellung, lege ich das Update erstmal wieder auf Halde. Und benutze weiterhin die 19er Version.
Mein Fazit: Firefox ab Version 20 ist eine Katastrophe ...na ja: noch immer nicht zumutbar.

Lösung einen Tag später:
P.S. 2013-07-21 - Workaround für den Fehler in der Zertifikatsdatenbank

Das Zertifikat "GeoTrust Global CA" ist in der historisch übernommenen Datenbank in einer Art gespeichert, die alle Firefoxe bis Version 19 korrekt verarbeiten konnten, alle Firefoxe ab Version 20 aufwärts aber zum weitgehenden Einstellen der Verschlüsselung bringt.
Das Zertifikat selbst ist dabei korrekt: Nach seiner Löschung im alten DB-Zustand wird es automatisch ersetzt durch einen neuen, binär identischen DB-Eintrag. Nach dieser Ersetzung funktioniert der Firefox wieder korrekt. Es geht also nicht um ein falsches Zertifikat, sondern um eine falsche Auswertung der Speicherung in der Datenbank durch Feuerfüchse ab Version 20 aufwärts.

"GeoTrust Global CA" scheint ja nun eine sehr weit verbreitete CA zu sein, die dummerweise auch von den Mozilla-Leuten für die Verbindungssicherung zu deren Servern bemüht wird. Weshalb nach dem Update bei mir auch keine HTTPS-gesicherte Verbindung zu irgendeinem Mozilla-Server (auch nicht deren Diskussionsforen oder Bugzilla) möglich war. Dennoch scheine ich der einzige Mensch auf diesem Erdball zu sein, dem dieses konkrete Problem begegnet ist.

Allerdings ist die Sache auch wieder nicht soooo einfach abzutun: Mit dem Speichern von Zertifikaten in Datenbanken des Browsers habe ich als Anwender nicht die Bohne zu tun. Ich bin da in keinster Weise an der Entstehung des Fehlers ursächlich beteiligt. Zumal der Fehler kein Fehler war bis zur Version 19, sondern erst danach einer wurde. Und es ist völlig offen, ob der Datenbankzustand fehlerhaft ist oder die Auswertung der Datenbank durch die aktuellen Funktionen im Firefox. Es besteht also die Aussicht, daß sich sowas zukünftig noch bei anderen Personen mehr oder weniger per Zufall wiederholen wird, solange da nicht die Fehlerursachen beseitigt wurden.

(Unable to) Hide User Accounts on Windows Logon
2013-06-22 14:30
Im Netz ist erstmal nur die Beschreibung der Standard-Prozedur zu finden, die das Setzen von Einträgen im Registry-Zweig HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList beschreibt. Und die ich ja nun kannte und ja auch benutzte. Aber in keinem der Artikel - weder in der freien Wildbahn noch in den Foren bei Microsoft - findet man Hinweise auf die Einschränkungen, unter denen diese Einträge funktionieren...

Namentlich, daß das Matching der Einträge beim ersten nicht-alphanumerichen ASCII-Zeichen abbricht. Zumindest unter XP. Das hatte mich ne ganze Weile nicht gestört, solange es nur einige wenige Accounts betraf. Sieht zwar häßlich aus, ist aber verschmerzbar. Aber in letzter Zeit hatte ich, um fremden Leuten beim Helfen entgegenzukommen und um mich ein wenig weiterzubilden, einige alternative Sachen installiert, darunter auch welche, die das Einrichten von extra Konten erforderten. Und die haben schließlich meinen Login-Screen verkleistert.

Da könnte man natürlich argumentieren: Ja phfff!
Korrekt! Gehe ich mit. Aber häßlich ist es trotzdem.
Also - Lösung: Konten, die vom Logon-Screen ausnehmbar sein sollen, grundsätzlich nur als ein zusammenhängendes Wort aus puren good old ASCII-Alphanumerics definieren!

Krasse Fehler in Zertifikatsverwaltungen der Browser
So, ich habe mehrere Tage experimentiert, um Gründe aufzufinden, warum selbstverwaltete Zertifizierungsstellen von sämtlichen Browsern falsch behandelt werden. Fazit soweit:

Fazit: Das ganze System kommt mir noch immer mächtig als Bastelei vor, obwohl es jetzt schon reichlich 20 Jahre alt ist. Das Bastelei-Niveau nimmt eher mit der Zeit zu. Wobei das nicht vordergründig an mangelhaftem Code liegt, sondern an einem Dokumentationsniveau unter aller Sau.
Zwischendurch Zähmung des BEAST
Am Ende von Kapitel 7 des Programmier-Einsteiger-Kurses geht es um Sicherung der Datenübertragung per HTTPS bzw. dessen Aktivierung im frisch eingerichteten Server. Da ich das "anständig" machen wollte (ja: Perfektionismus, zugegeben), hatte ich mich in die Funktion von Zertifizierungsstellen einzuarbeiten. Das zog mal wieder einen Rattenschwanz von Folgehandlungen nach sich. Eine davon war die Neueinrichtung der Zertifikate auf meinem Privatserver. Im Laufe von dieser Behandlung (bei einer Prüfung der SSL-Einrichtung bei www.ssllabs.com ) traf ich nach einem Jahr bzw. einem Monat mal wieder auf die Sicherheitslücken "BEAST" und CRIME. Und mußte nach längeren Recherchen feststellen, daß dagegen bisher noch immer kein Kraut gewachsen ist: Weder haben sich die Browser hinsichtlich ihrer Nutzung von HTTPS-Kanälen gebessert (was EINE mögliche Maßnahme gewesen wäre) noch haben sich die Bibliotheken in den Servern soweit gebessert, daß neuere SSL-Protokollversionen aufgenommen worden wären, die von sich aus Gegenmaßnahmen gebracht hätten. Jedenfalls nach dem, was ich innerhalb eines Tages zu lesen fand.

Letztlich gibt's aber als Serverbetreiber Mittel dagegen, wenn man den Angriff nachvollzogen bekam: Die verwundbaren Daten (in diesem Fall erstmal Cookies) werden einfach in bunt rauschende Zufalls-Paddings verpackt. So einfach kann das Leben sein.

Wieso nicht einfach bei jedem Zugriff neu auswürfeln? Das wäre doch noch konsequenter?! Nun ja: Wenn man keine Webanwendungen hat, die eine Konstanz der Session-ID voraussetzen, kann man das machen. (Die eindeutige Kennung eines Besuchers kann man auch genauso gut in den Session-Daten unterbringen, man ist da mitnichten auf die Session-ID angewiesen!) Andernfalls muß man Kompromisse eingehen. Siehe auch: http://www.heise.de/security/news/foren/S-Nach-einem-Jahr-Es-gibt-so-triviale-Gegenmassnahmen/forum-210378/msg-22665264/read/

Nebenbei habe ich den Server damit auch gleich noch dicht gemacht gegen den vom Grundprinzip her ähnlichen Angriff namens CRIME von denselben Security-Spezialisten wie bei BEAST.

Zum Schluß zeigt sich, daß der Test bei www.ssllabs.com nur eine pauschale Merkmalsbewertung vornimmt, nicht jedoch tatsächlich eine Anreifbarkeit testet. Die Behauptung zur Verwundbarkeit wird wohl ausschließlich anhand der festgestellten Protokollmerkmale bewertet, nicht anhand eines tatsächlichen Tests. Das Serverlog bestätigt den Eindruck (nur zweimal HEAD gelesen).
Geile Werbung bei Google für das neue Lehrmaterial
Gerade eben entdeckt aufgrund eines Referers im Webserver-Log (es ist allerdings auch krass, was manche Menschen so suchen und verfolgen, gelle?!:



Das ist aber auch eine Glanzleistung einer Suchmaschine: DAS muß man erstmal nachmachen!
Soll das jetzt zum Weinen oder zum Lachen sein?
Wahrscheinlich eher letzteres, gelle?

Bin gespannt, wann ich den ersten Vertretern der geballten Staatsmacht klarmachen muß, daß dieses Stuß nur von einem punktuell unsinnig reagierenden Suchmaschinen-Algorithmus verursacht wird...
Probleme mit dem Kompromiß zwischen Hacking-Abwehr und Serverleistung
In den letzten Tagen ist es mehrfach vorgekommen, daß Besucher beim Zugriff auf die (schon recht angestaubte) Morrowind-Karte einer vermeintlichen Hacking-Abwehr zum Opfer gefallen sind, weil mein Modem/Router der Meinung war, einen "SYN Flood" festgestellt zu haben. Eigentlich ging es dabei nur um das relativ stark parallelisierte Abfragen von Bildern, und zwar auch nur dann, wenn in der Auslieferung eine Verzögerung vorkommt (weil z.B. die Festplatte gerade wieder in Ruhestellung ist).

Es sieht so aus, daß dies nur beim Browser "Safari" vorkommt.

Ich bin mir noch nicht im klaren, wie da sinnvoll gegenzusteuern wäre.
Server-Engpaß
Ich bin heute (04.10.2012 ab etwa 14:00 Uhr) offenbar wiederholt in das Thread-Limit des Servers gelaufen...
Server ran out of threads to serve requests. Consider raising the ThreadsPerChild setting
(Das Problem daran - außer daß der unmittelbare Zugriff verlangsamt wird, während der Server gerade am Anschlag läuft: Irgendwo gibt es in der Connection-Behandlung ein Problem, daß auch lange nach Abklingen des Spitzenzugriffs sich die Threads irgendwie verhakt haben und jede neue Verbindung von einem Client fortan nicht mehr korrekt zum Ende bringen. Die Dokumente werden zwar ausgeliefert, aber dem Browser nicht das Ende des Dokuments korrekt angezeigt. Das führt dazu, daß im Browser die Ladeoperation nicht zum Ende kommt ud die Anzeige des Seiteninhalts bis zum Timeout verzögert wird (die Ladeanimation läuft jeweils rund eine Minute oder was auch immer bei den Browsern als Limit eingestellt ist). Eventuell sollte ich den Apachen doch mal auf eine Folgegeneration updaten...)

Aber gemeinerweise ist ThreadsPerChild unter der Windows-Variante auf 32 beschränkt. Oder?
(Könnte irgendeine Einstellung bei mir dran schuld sein? Ja: ThreadLimit wird durch Warmstart nicht verändert...)

Bedeutet das jetzt Server-Wechsel? Hat Apache bei mir ausgedient?
Alternativen gibt's ja: Nginx zum Beispiel...
Oder reicht eine Umkonfiguration? Oder ein anderer Thread-Handler?
-> Erstmal ThreadLimit und ThreadsPerChild auf 64 erhöht (mit noch extrem reichlich Luft (bis 2000 könnten wir gehen)))

Knatsch mit dem Forum PHP.de
Wäre das Leben nicht langweilig ohne ein paar saftige Widerstände?!
An denen wir unsere Kräfte wie zum puren Bodybuildung vergeuden können?!

Bei dem im neuen PHP-Kurs empfohlenen Forum php.de herrscht die Meinung vor, Einsteigern und Leuten, die sich nur nebensächlich mit Programmierung beschäftigen wollen, jede wirksame Hilfe vorenthalten zu wollen. Die sollen schließlich gefälligst selber denken lernen!
Wenn sich Hilfesuchende und Hilfeleistende dort in gegenseitigem Einvernehmen zu treffen versuchen, um öffentlich ihre Probleme zu lösen und den Rest der Welt an ihren Fragestellungen, Gedankengängen und Einsichten teilhaben zu lassen, haben die Bordgeier nichts besseres zu tun, als sich für beide Parteien (Hilfesuchende und -anbietende) störend dazwischenzudrängeln und die Hilfeleistung zu unterdrücken.

Während ich die grundsätzliche Idee durchaus teile - zum Selberlösen und -lernen anregen ist bei mir zwingender Bestandteil der Lehrgänge und der angebotenen Hilfen - kann ich der Einstellung des dortigen Bord-Adels, jeden konkreten Hinweis bestrafen zu wollen, nicht ganz folgen.

Die Motivation dahinter gibt mir Rätsel auf. Es könnte eventuell damit zusammenhängen, daß dieses Bord ursprünglich mal von einer kleinen Gruppe aus welchen Gründen auch immer sich zusammengehörig fühlenden Personen aufgebaut worden ist, die sich durch den Ansturm der interessierten Massen überfordert und ausgenutzt fühlen. So was ähnliches geht jedenfalls aus der dort wohl üblichen Begrüßungsnachricht hervor (gleich mehrere Links auf eben solche psychologischen Probleme: Warum Foren eigentlich nicht funktionieren können oder Thread zu "Foren-Mentalität" beim Mediengestalter-Forum). Es ist also nicht direkt so, daß man dort nicht vorgewarnt werden würde. Ganz im Gegenteil bekommt man gleich zu Anfang einen Wink mit dem Zaunpfahl, daß man dort eher mit krassen Zuständen zu rechnen hat...
Die Warnung hat sich mehr als bestätigt!

Ich bin also noch am Suchen nach einem anständigen Forum, welches ich tatsächlich Anfängern zumuten kann, das aber dennoch nicht von arroganten Eingeborenen vereinnahmt, sondern tolerant und weltoffen ist. Und das dennoch ausreichend stark frequentiert wird. Wobei: Ganz abwegig wäre es nicht, mal aus diesem Anlaß ein eigenes Forum hochzuziehen. Andererseits bringt die Teilnahme an einem bestehenden natürlich mehr Belohnung ein: Schließlich mache ich diese Sachen ja nicht völlig zur Selbstbefriedigung, sondern um letztlich wieder damit Geld zu verdienen. Dazu benötige ich zwingend Werbung in der Öffentlichkeit. Und das geht nun mal effektiv nur mit Teilnahme an bereits existierenden, gut besuchten Kommunikationszentren, in denen ich meine Hilfe auch tatsächlich anbieten darf...

Homepages

Harry
Christel

veraltet (sollte demnächst abgeschaltet werden):
Domain-Homepage bei T-Online

Werkzeuge

Entropie-Abschätzung für Passworte
PasswordMaker
Tips zu John-the-Ripper.html

IP dieses Servers (Abfrage vom Modem)
IP eines Besuchers

Server-Administration

Der Rechner ist über Vodafon-DSL 16000 (1200 KBaud upload-Rate) ans Netz angebunden.
Die Adresse ist über DynDNS.org (umbenannt zu "dyn.com") im Internet veröffentlicht.

Zertifikat meiner privaten Schlüsselverwaltung
Zertifikats-Rückrufe meiner privaten Schlüsselverwaltung

Server-Einrichtung
Sicherheit des Servers und des Surfers

Erlebnisse mit T-Online
Umstellung von T-Online auf Vodafon

Beruf

SGD-Fernstudium (abgeschlossen 2006)
Arbeit beim BMD Neustrelitz / Betreuung der Arbeitsgelegenheiten (2007...2008)
Arbeit für eine Firma in Hamburg, die nicht genannt werden will (2008...2013)
Zwischendurch Anlauf zur Schaffung von Ausbildungsmaterialien für privaten Unterricht (2013, allerdings abgebrochen, weil es fast nur von Hackern besucht wurde - nicht um zu lernen, sondern um es in Script-Kiddy-Art mit völlig schwachsinnigen Breitseiten zu bombardieren. Für SOLCHE Idioten opfere ich nicht meine Lebenszeit!)
Arbeit beim BMD Neustrelitz / 2. Runde: Programmierung verschiedener Projekte, partielle Betreuung des Webservers und der AD-Server (2014...)

Freizeit

Spiele
verschiedene Experimente

Ich weiß grad nicht, wohin mit dem Link: Benotung eines Softwareprojekts (Humor+Sarkasmus inside!)
Der "Chuck Norris" für IT-Freaks: Bruce Schneier-Witze...

befreundete Websites

Projekte von Pascal Engel (momentan noch ein reichliches Jahr Azubi in meinem derzeitigen Betrieb)


Falls es Probleme mit den bis ins letzte Jahrtausend zurückreichenden Inhalten geben sollte:

Firefox!
Impressum