Mich erreichen immer wieder Zuschriften der Art: Hildi, wie schaffst Du es eigentlich bei all Deinen Aktivitäten (Fotografieren, Musik, Radfahren, Laufen, Kochen und zwei Kleinkindern) immer wieder aktuelle Artikel aus Onlinezeitungen, Zeitschriften oder Blogs zu lesen? (Solche Zuschriften erhalte ich nicht wirklich, aber es ist einfach eine gute Einleitung.)
Die Antwort: Das ist nicht schwer mit den hier vorgestellten Werkzeugen und der richtigen Zeiteinteilung.
Im Artikel vom 16.11.2009 spricht nun auch Heise davon, dass die Verwendung von Client-Zertifikaten nur ein Weg ist, das TLS-Problem auszunutzen. Ein Twitter-Hack zeigt, wie ein Angriff praktisch aussehen kann. Das Problem hatten Thomas Gebhardt und ich am 10.11.2009 in einem Artikel zusammengefasst. In der Zusammenfassung kamen wir bereits zum Ergebnis, dass zügig gehandelt werden muss. Ein guter Zeitpunkt zur Umsetzung geeigneter Massnahmen wäre jetzt gekommen.
Bei der Installation eines neuen Macs wird man immer auch gleich nach einer Teststellung des Mobile Me Dienstes gefragt. Mobile Me ist ein Dienst von Apple, der die Synchronisation diverser Dienstprogramme zwischen unterschiedlichen Macs, dem iPhone oder iPod Touch ermöglichen und eine Online-Festplatte, sowie eine persönliche Webseite mit verschiedenen Extras bietet.
Die Onlinefestplatte iDisk kann u.a. dafür genutzt werden, OmniFocus-Daten zwischen Mac und iPhone zu synchronisieren. Aus diesem Grund testete ich den Dienst für die kostenlose Testphase, um mich danach um Alternativen zu kümmern.
Am Donnerstag, den 5.11. erschien auf Heise Security eine Meldung zu einer Schwachstelle im SSL/TLS-Protokoll. Es war schwierig, aus der Beschreibung die Brisanz der Schwachstelle abzuleiten. Die bei Heise folgende Diskussion zeigte, dass der Eindruck entstand, dass es sich um eine Lücke handle, die nur bei exotischen Konfigurationen auftreten würde. Diese Einschätzung ist leider falsch! Heute meldet Heise: OpenSSL fixt TLS-Schwachstelle. Allerdings besteht hier der Fix nur darin, die Wiederverhandlung im TLS abzuschalten. Dabei handelt es sich jedoch zur Zeit leider um die beste zur Verfügung stehende Maßnahme. Das Security Advisory von Cisco, das gestern erschien, liest sich wie eine Produktportfolio („Details“), da fast jedes Produkt SSL/TLS unterstützt. Hier arbeitet man an Lösungen.
Thomas Gebhardt und ich haben für unsere Administratoren und als Vorlage für Informationen für unsere Benutzer einen Artikel zusammengestellt, in dem wir den Wissensstand noch einmal in Deutscher Sprache zusammenfassen. Relevant ist dieses Wissen vor allem für Betreiber von Infrastruktur, die SSL/TLS verwendet (also z.B. HTTPS, IMAPS, LDAPS, etc.) aber leider auch für alle Benutzer von Online Banking, Online Shopping, eGovernment etc.
„Wenn Dir jemand sagt, ändere als erstes Dein Passwort, dann solltest Du das ernst nehmen!“ So könnte man die Lehre aus dem ersten iPhone-Wurm zusammenfassen. [From heise Security – Erster iPhone-Wurm unterwegs]
Ich trage einen USB-Stick bei mir. Zur Zeit ist er 16GB groß. Auf diesem USB Stick befindet sich ein verschlüsseltes virtuelles Laufwerk. Darin befinden sich Dateien, die ebenfalls auf meinem Laptop und auf meinem Mac mini zu Hause sind. Mein Support-Material: Aktuelle Projekte, Referenzmaterial und ein Archiv mit alten Projektdaten. Zum Synchronisieren habe ich Unison, Personal Backup X5 und Versions / SVN probiert. Alles überzeugt mich noch nicht wirklich. Ich vergesse das synchronisieren, die Synchronisation erfordert das Zusammenführen von Änderungen, weil ich auf zwei Rechnern eine Änderung durchgeführt habe, ohne vorher zu synchronisieren und je nach verwendeter Methode gehen Ordner-Icons, Farbkodierungen etc. verloren. Bei einem Verfahren tauchen nach dem Synchronisieren gelöschte Dateien wieder auf, bei einem anderen habe ich nach dem Umbenennen eines Ordners plötzlich zwei. Klar, alles mehr oder weniger Bedienungsfehler und z.T. auch Probleme (wie mit den Icons), über die man hinwegsehen kann. Aber alles nicht so einfach, wie ich es mir vorstellen würde.
Es scheint sich zu bewahrheiten, dass Datensparsamkeit der einzig verlässliche Garant für die Vertraulichkeit von Daten ist. Das Erklärungen der Anbieter auch nur ein paar Bits im Datenrauschen sind, ist nun fast jedem Kunden klar. Aber auch TÜV Zertifizierung und Co. verlieren ihre Glaubwürdigkeit. Sicher sind die Daten, die ich nicht ins Netz bringe. Blöd nur, dass wir den Bücherladen um die Ecke bereits ruiniert haben, indem wir unsere Bücherlisten (unfreiwillig) ins Netz gestellt haben. [From Exklusiv: Die Bücher der Anderen : netzpolitik.org]