Die Welt da draußen

Nachdem mir kürzlich bei einem Kunden ein kommerzielles Wordpress-Plugin "aufgefallen" war (dazu noch dieses Jahr sicherlich irgendwann mehr), wollte ich den Hersteller dieses Plugins kontaktieren. Dieser verwies auf seiner Webseite mehrfach auf ein Support-Formular, das aber nur mittels Zugangsdaten erreichbar war und somit für mich als nicht-Kunden ausfiel.

Macht nichts, denn im Impressum gibt es ja eine E-Mail-Adresse!

Da sieht man bereits auf den ersten Blick, dass der Hersteller hier nicht gerne per E-Mail kontaktiert werden möchte, aber irgendwie gezwungen ist eine E-Mail-Adresse anzugeben. Aber es ging noch weiter: Auf der gesamten Seite und bei der E-Mail-Adresse im speziellen waren keine Textmarkierungen möglich und im HTML-Quelltext waren ein paar zusätzliche Hürden hinterlegt sodass selbst wenn Text markiert und kopiert werden kann am Ende immern och nur Müll dabei heraus kommt:

Grandios und Hut ab! Da hat sich jemand wahrlich Mühe gemacht.

Ich war so frei all diese Hürden zu umschiffen und an die E-Mail-Adresse (wie auch an die im WHOIS hinterlegte E-Mail-Adresse) mein Anliegen zu schicken. Bislang (erwartbar) ohne Antwort, sodass das sicherlich noch nicht das Ende der Geschichte ist....

Ich bin aktuell noch etwas unschlüssig, ob ich entsetzt oder recht amüsiert sein soll. Da ich ungern entsetzt bin und das vielleicht auch etwas übertrieben wäre, belasse ich es wohl beim amüsiert sein.

Hin und wieder (aber eigentlich ganz selten) brauche ich für ganz exotische Dinge ein Oszilloskop. Hierzu hatte ich vor kurzem ein Velleman WFS210 angeschafft - sicherlich kein Top-Modell, aber für meine Zwecke ausreichend und mit WLAN und TCP/IP für ganz andere Schandtaten spannend.

Heute bekam ich auf dem iPad allerdings einen Hinweis präsentiert, dass eine Verbindung mit dem Gerät nicht möglich sei und ich für iOS 10-Unterstützung eine neue Firmware auf dem WFS210 installieren sollte. "Schrecklich!" dachte ich mir. Ich würde nicht erwarten, dass ein iOS-Update eine Kommunikation auf dieser Ebene brechen könnte (außer vielleicht ein HTTPS-Zwang für App-Server-Kommunikation, aber dazu bin ich zu wenig in dieser Materie), aber das tat es offensichtlich und der Hersteller hat hierauf reagiert. Soweit so gut.

Bei Hardware mit Netzwerk-Anbindung bin ich nun irgendwie gewohnt, dass man Updates auch über eben diese Schnittstelle einspielen kann - daher dann auch mein Entsetzen: Denn anders als erwartet, lässt sich bei dem WFS210 die Firmware eben nicht über Software einspielen. Stattdessen muss das Gehäuse geöffnet und der Chip neu geflasht werden. Wohl dem, der entsprechendes Equipment im Schrank liegen hat.

Irgendwie fühlt es sich komisch an, wenn ein Kunde vier Pakete mit Hardware von uns erhält und eines davon nach dem Einlieferungszentrum über eine komplett andere Route zum Empfänger geht als die drei anderen Geschwister.

Na hoffentlich geht da alles gut. Ich behalte das im Auge, UPS!

Ich habe ja kürzlich festgestellt, dass ich doch noch irgendwie gelesen werde. Daher einfach mal die Frage:

Gibt es unter meiner Leserschaft Autoren mit Wordpress-Blog, die regelmäßig Artikel im Bereich um die 1.800 Zeichen schreiben und darauf an die 1.500 Zugriffe pro Jahr verzeichnen?

Die Betroffenen wissen hoffentlich worum es mir geht und ich würde genau hier noch ein paar Beta-Tester suchen, denen ich 2-3 Abende an Arbeit abnehmen kann.

Gestern in der Mail eines Kunden gelesen und herzlich geschmunzelt:

PS> Ich habe deinen Blog noch im Feedreader - den DNSSEC post fand ich auch interessant und amüsant, nur falls du dich fragst ob das noch wer liest

Ja, ich frage mich in der Tat oft, ob das hier noch jemand liest und wünschte mir oft, dass ich mehr Zeit und Inhalt für den Blog hätte. Nach wie vor passiert hier wahnsinnig viel, aber die alte Leichtigkeit einfach "unterwegs" mal darüber zu bloggen ist irgendwie weg. Heute ist es dann meist ein "Da schreibst Du drüber, wenn Du damit fertig bist".

Ich musste drei oder vier Mal gucken und habe es im ersten Moment nicht wirklich glauben wollen:
Das "DNS Root Key Signing Certificate" der IANA (Internet Assigned Numbers Authority) enthält einen formalen Fehler (hier verlinkt). Ausgestellt wurde das Zertifikat von der ICANN, die kommissarisch die Aufgaben der IANA wahrnimmt.

Wo ich zunächst einen Fehler in unserer Software vermutet habe, die wir zum Verarbeiten von ASN.1-Objekten einsetzen (dazu zählen eben auch X.509 Zertifikate) und mich dort auf die Suche nach einem Fehler gemacht habe, musste ich schlussendlich herausfinden, dass die Software hervorragend arbeitet und höchstens etwas streng validiert - ASN.1 hat keinen sonderlich guten Ruf und der Hauptkritikpunkt hier liegt wohl in der etwas verkopften bzw. zu abstrakten, manchmal schwer zu implementierenden Definition dieser binären Beschreibungssprache und so hätte ich mich erst einmal nicht gewundert, sollte bei uns etwas schief gelaufen sein.

Mit der Zeit konnte ich aber ziemlich genau herausfinden, an welcher Stelle im Zertifikat der IANA der "Fehler" liegt - ich gehe an dieser Stelle bewusst dazu über den "Fehler" in Anführungszeichen zu setzen, da er im Prinzip nur formaler Natur ist und eigentlich zu keinen praktischen Problemen (z.B. bei der Signierung von DNSSEC-Daten und der Validierung solcher Unterschriften) kommen sollte. Allerdings finde ich es bezeichnend, dass so ein Fehler bei der IANA bzw. ICANN auftritt. Immerhin sind diese beiden Organisationen zwei wesentliche Organe der Verwaltung des Internets. Aber was ist eigentlich mein das Problem?

Das Problem ist, dass das oben angesprochene Zertifikat von der folgenden Stelle unterschrieben wurde:

Organisation: ICANN
Allgemeiner Name: ICANN DNSSEC CA
E-Mail-Adresse: dnssec@icann.org

Das an sich stellt natürlich kein Problem dar. Jeder im Internet darf eine eigene Certificate Authority (CA) erstellen und damit andere Zertifikate ausstellen bzw. unterschreiben - auch die ICANN darf das, vielleicht sogar gerade die ICANN. Der "Name" der unterschreibenden Organisation ist in X.509-Zertifikaten recht aufwendig kodiert. Im Prinzip ist das eine Aneinanderreihung von Bezeichnungen bzw. sog. Attributen. Jedes Attribut hat hierbei eine Kennung ("Object ID") und einen damit verwandten Wert, die meistens als "Printable String", "IA5 String" oder "UTF-8 String" kodiert werden. In der Praxis ist das sicherlich etwas komplexer und primär dem oben genannten ASN.1 geschuldet, ich belasse es aber bei dieser einfachen Darstellung.

Das IANA-Zertifikat verwendet an dieser Stelle ausschließlich "Printable Strings" und genau hier liegt ein ganz banales Problem: Ein "Printable String" kennt kein "@"- oder "&"-Zeichen, der oben genannte Aussteller des Zertifikates hat jedoch seine E-Mail-Adresse vermerkt - und die kommt bekanntlich nicht ohne "@"-Zeichen aus.

Selbstverständlich habe ich meine Annahme mit OpenSSL verifiziert ("openssl asn1parse -inform pem < Kjqmt7v.crt"):

[...]
75:d=3  hl=2 l=  31 cons: SET
77:d=4  hl=2 l=  29 cons: SEQUENCE
79:d=5  hl=2 l=   9 prim: OBJECT            :emailAddress
90:d=5  hl=2 l=  16 prim: PRINTABLESTRING   :dnssec@icann.org
[...]

Bemerkenswert ist an dieser Stelle (wie auch im x509-Modul von OpenSSL), dass OpenSSL die Kodierung nicht als Fehlerhaft wertet oder einen entsprechenden Fehler ausgibt. Aber schon die Wikipedia sieht das anders: Dort wird schon unter der Tabelle der erlaubten Zeichen darauf hingewiesen, dass das "@"-Zeichen im Subset des "Printable String" nicht enthalten ist und dies ein typischer Fehler für einen "naiven Implementierer" ist. Formal definiert ist der "Printable String" in X.680, Kapitel 41, Absatz 4 (Seite 88) - wo sich die Tabelle der Wikipedia auch noch einmal verifizieren lässt.

Es liegt mir fern die IANA oder ICANN als "naiv" zu bezeichnen (auch wenn der Absatz über die Wikipedia dies nahe legen könnte), aber es drängt sich irgendwie die Frage auf, wie die dort ihre Zertifikate erstellen, dass sich so ein "Fehler" einschleichen kann.

Auf meine Arbeit an sich hatte das übrigens keinen Einfluss - ich war ohnehin nur am "Subject Public Key"-Teil des Zertifikates interessiert und der war intakt.

Was tut man als erstes wenn der Strom ausfällt? Richtig! Man schaut, ob das Handy noch eine Internet-Verbindung hat und pingt das Rechenzentrum in der selben Stadt an.

Puh! Alles in bester Ordnung und läuft

Als ich gestern Abend "markt" auf WDR angeschaut habe, kam dort auch ein Beitrag, der offensichtlich vom "Ratgeber Internet" (20.07.13, 17:03 ARD) recycelt worden ist.

Für "Menschen vom Fach" birgt der Beitrag "Überwachung total? Das  große Spionage-Experiment" ggf. nicht viel neues, spannend fand ich nur, dass die Journalisten vom WDR die erste Befragte mit der Aussage "Ich habe nichts zu verbergen" gewählt und einen Tag unbemerkt begleitet haben. Den 6 minütigen Fernsehbeitrag halte ich für sehr Anschauungswert - besonders für Menschen, die eben genannte Aussage gerne selber treffen.

Link zur Webseite
RTMP-URL

Wer kennt das nicht? Man sitzt bei einem Kaffee im Cafe und schreibt an einem asyncronen SMTP-Client... Da dies ja ein Entwicklungsschritt ist, arbeitet man auf einem vertrauten SMTP-Server und liest beim Testen den SMTP-Dialog mit:

> 220 ******************************************
< EHLO qccore2-test.virtual.tiggersystems.info

> 250-mail.tiggerswelt.net
> 250-PIPELINING
> 250-SIZE 104857600
> 250-VRFY
> 250-ETRN
> 250-XXXXXXXA
> 250-AUTH PLAIN LOGIN
> 250-AUTH=PLAIN LOGIN
> 250-ENHANCEDSTATUSCODES
> 250-8BITMIME
> 250 DSN

Huch? Merkwürdig! Sowohl das "initial Greeting" des Servers und die StartTLS-Erweiterung in den Server-Features sind "geschwärzt". Was soll denn das? Ich weiß zwar mit welchem Server ich mich da verbinde, insofern ist mir das egal, aber warum darf ich denn angeblich kein StartTLS ausführen?

Da der Client explizit dieses Feature für der TLS-Aushandlung prüft also kurz diesen Check auskommentiert und "brute force" StartTLS versucht:

< STARTTLS
> 502 5.5.2 Error: command not recognized

Böse! Ich möchte ja jetzt keine Verschwörungstheorien a la Snowden und PRISM niederschreiben, aber es ist schon sehr merkwürdig, dass der Hotspot der Telekom verhindert, dass eine SMTP-Verbindung per TLS verschlüsselt werden kann.

Ach ja, nur der Vollständigkeit halber: Lege ich dann eine SSL-Verschlüsselte VPN-Sitzung über diese Verbindung funktioniert es sofort und wie gewünscht:

> 220 mail.tiggerswelt.net ESMTP TiggerMail/1.25
< EHLO qccore2-test.virtual.tiggersystems.info

> 250-mail.tiggerswelt.net
> 250-PIPELINING
> 250-SIZE 104857600
> 250-VRFY
> 250-ETRN
> 250-STARTTLS
> 250-AUTH PLAIN LOGIN
> 250-AUTH=PLAIN LOGIN
> 250-ENHANCEDSTATUSCODES
> 250-8BITMIME
> 250 DSN
< STARTTLS

> 220 2.0.0 Ready to start TLS
[TLS-Aushandlung]
< EHLO qccore2-test.virtual.tiggersystems.info

> 250-mail.tiggerswelt.net
> 250-PIPELINING
> 250-SIZE 104857600
> 250-VRFY
> 250-ETRN
> 250-AUTH PLAIN LOGIN
> 250-AUTH=PLAIN LOGIN
> 250-ENHANCEDSTATUSCODES
> 250-8BITMIME
> 250 DSN

Es tut mir ja für die Kundin ein wenig leid, denn sie steht da als fast unbeteiligte in der Mitte und muss immerzu hin und her mitteln...

Ihr alter Provider (eher wohl ein Arbeitskollege, der das ganze mal als freundschaftliche Dienstleitung gemacht hat) beharrt darauf, dass der Transfer einer .de-Domain auch ohne AuthInfo-Code möglich ist. Er belegt das ganze auch mit Screenshots aus seiner Verwaltungsoberfläche, die in der Tat Auth-Codes nur für .com-Domains anbietet (aber streng genommen ist das ja ohnehin was anderes).

Ich würde ja anders, wenn ich könnte. In meiner vorletzten E-Mail fügte ich - ähnlich wie letztes Jahr schon für jemand anderen - schon Links zu den FAQ seines Anbieters bei, die Beschreiben wie man einen AuthInfo-Code anfordern kann. Da das nicht fruchten wollte, habe ich diesmal ein einschlägiges Zitat der DeNIC samt Link zur Seite beigefügt und drohe schon damit einen AuthInfo2 (AuthInfo-Code bei Nicht-Erreichbarkeit) zu beantragen (auf meine Kosten versteht sich).

Das lustigste an der Sache: Obwohl ich regelmäßig selbst Domaintransfers mit AuthInfo-Code durchführe, fange ich immer wieder an zu Zweifeln... Geht es vielleicht doch anders? Hat Dein Gegenüber vielleicht doch recht? Bist Du es, der es gerade kompliziert macht? Nein, nein, nein!!! Der KK ist seit Februar 2010 nicht mehr existent! Es geht nur noch "ChProv mit Authinfo-Code" - und das ist auch gut so!

Letzte Woche wollte ich mich noch im Blog beschweren, ich verkniff es mir jedoch da ich nicht schlecht über das seinerzeit wirklich schöne Wetter schreiben wollte. Heute kann ich es ja wieder tun:

Das Positive an diesem Wetter bzw. der Rückkehr des Winters ist, dass mein kleiner privater Kühlschrank im Büro wieder funktioniert.

Genau genommen handelt es sich dabei um einen mit Kunststoff beschichteten Karton, den ich mit allerlei Leckereien gefüllt habe und draußen unter meinem Fenster zwischen Fassade und "Fassadenschmuck" platziert habe. Fällt kaum auf und hält super frisch. Letzte Woche musste ich ihn schon einmal reinholen und mich um den Inhalt kümmern, da draußen ja bekanntlich und eigentlich auch schönerweise keine Kühlleistung mehr erbracht wurde.

Bevor ich es vergesse und die erste Woche des neuen Jahres (wo man es meiner Meinung nach problemlos sagen darf):

Ich wünsche allen hier verbliebenen Lesern ein gesundes, glückliches und frohes neues Jahr 2013! 

Eigentlich will ich das Thema hier so öffentlich nicht allzu breit treten, aber es gibt da eine Sache, die mir wirklich sehr am Herzen liegt:

Ich hatte bekanntlich kürzlich eine Lungenembolie - was recht tödlich sein kann. Jetzt, wo sich alles etwas beruhigt hat, wieder Ruhe in mein Leben eingekehrt ist und ich eigentlich mit jedem gesprochen habe, mit dem es was zu besprechen gab, weiß ich, dass ich sehr viel Glück hatte - mein Hausarzt hatte mich seinerzeit eigentlich nur zum Radiologen überwiesen, da er die Lungenembolie ausschließen wollte, seiner Einschätzung nach war die Wahrscheinlichkeit eine zu haben so gering, dass er mich zwischendurch auch noch nach Hause gehen lies. Das EKG und die Blutuntersuchung waren nur minimal auffällig.

Im Gespräch nach meiner Entlassung aus dem Krankenhaus diskutierten wir die Frage, ob es richtig gewesen wäre, mich direkt ins Krankenhaus zu schicken. Aus heutiger Sicht sage ich natürlich "JA! Auf jeden Fall.", aber ich kann auch verstehen wenn man es bei so geringen Anzeichen wie sie bei mir vorlagen ruhiger angehen lässt - auch wenn es hier um eine lebensbedrohliche Erkrankung geht.
Die wesentliche Konsequenz, die ich für mich aus diesem Gespräch mitgenommen habe, ist dass ich meinen Hausarzt - wenn ich ihn schon besuche - mit jedem Detail zu quälen habe, ganz egal für wie unwichtig ich es selbst erachte. Denn hätte ich zu den Symptomen "Kurzatmigkeit" und "Tachykardie" nach erwähnt, dass ich kürzlich (da war es auch schon 2 Wochen her) richtig üble Schmerzen im rechten Bein gehabt habe, hätte ich wohl sofort im Krankenhaus gelegen.

Stattdessen habe ich es verschwiegen, weil ich es für nicht wichtig hielt. Im Gegenzug durfte ich dann am nächsten Morgen auf dem Weg von der S-Bahn bis zum Radiologen - eine Strecke von ca. 200m - nach der Hälfte Pause an einer Säule machen, weil ich schlichtweg überhaupt nicht mehr konnte. Hätte auch dort mein Kopf wie so oft über meinen Körper gewonnen und ich wäre weiter gelaufen, würde ich diese Zeilen vielleicht sogar nicht mehr schreiben.

Daher mein Fazit:
Ich bin kein Arzt und dementsprechend habe ich nicht die Kompetenz irgendwelche Wehwehchen für nichtig zu erklären. Das heißt zwar nicht bei jedem gleich zum Arzt zu laufen allerdings auch nicht sie zu verschweigen, wenn ich einmal dort bin. Ich bzw. meine Versicherung bezahlt den Arzt, damit er sich meine Geschichte anhört. Was davon relevant ist darf er dann selbst bewerten und den Rest muss er eben ertragen. Die Wikipedia (auch wenn oben verlinkt) ist ebenfalls kein Arzt und wird mir keine richtige Diagnose stellen sondern eher meine Angst schüren. (Besonders wenn man am Abend vorher den Befund auf der Überweisung dort sucht)

Mit dem "Ich" meine ich nicht mich selbst im speziellen, sondern ich poste es hier, damit es jeder für sich selbst mitnehmen kann - ich gehe (rückblickend) gerne mit negativem Beispiel voran, wenn es jemand anderen davor bewahren kann selbst in so eine Situation zu geraten.