netzsheriff.de

Note to self: "Focus follows mouse" fuer Windows 7

nospam@example.com (Jens) — Fri, 24 Feb 2012 10:37:00 +0100

Um ein Programmfester zu aktivieren wenn man mit der Maus drueberfaehrt ohne dadurch es in den Vordergrund zu holen folgende Aenderungen in der Registry durchfuehren:

1) HKEY_CURRENT_USER\Control Panel\Desktop bei UserPreferenceMask den Wert auf 9F 3E 07 80 12 00 00 00 aendern (Default 9E 3E 07 80 12 00 00 00).

2) HKEY_CURRENT_USER\Control Panel\Desktop bei ActiveWndTrkTimeout Dezimal 150 eintragen (150ms Delay beim Focuswechsel)

Will man die Fenster doch direkt auch in den Vordergund holen setzt man im ersten Schritt den Wert DF 3E 07 80 12 00 00 00.

Kaufempfehlung: OVH. Alles.

nospam@example.com (Jens) — Tue, 27 Sep 2011 15:01:00 +0200

Der Server auf dem das Blog hier liegt steht bei OVH in Roubaix/Frankreich. Fuer unter 20 Euro bekomm ich eine eigene Hardware, Traffic inklusive, IPv4 und IPv6 - kurzum: Alles was ich brauche und fuer mich ausreichend.

Heute frueh, grade als ich mich zum Fruehstueck aufmachen wollte, trudelten ploetzlich haufenweise Mails ein, die mich ueber den Ausfall diverser Services auf der Kiste hinweisen sollten. Totalausfall. Bei OVH wurde der Ausfall ebenfalls bemerkt und automatisch ein Stoerungsticket erzeugt. Ich hab versucht die Kiste erstmal ueber das Webinterface zu booten und wollte, falls das nix bringt, danach den Rescue-Mode aktivieren. Dabei wird ein kleines Linux uebers Netz gebootet und man kann von diesem aus dann die Platten usw. checken. Zum einfachen Reboot kam es gar nicht. Es wurde von OHV, warum auch immer, direkt der Rescue Mode aktiviert. Aber auf der IP des Rettungssystems antwortete auch genau gar nix. Waehrend ich noch still in mich reingebetet habe, es moege bitte nur das Netzteil sein und derweil die letzten Backups rauskramte trudelte eine weitere Mail von OVH ein. Der "programmierte Eingriff" sei abgeschlossen. Naeheres koennte ich im Online Ticketsystem ersehen.

Bevor ich auch nur die Gelegenheit hatte da naeheres zu ersehen kam wieder ein Schwung Mails: IPv4 wieder online, IPv6 up, HTTP rennt, SMTP meldet sich usw. 45 Minuten hat der Ausfall gedauert. Und was wars? Ein explodiertes Motherboard.

OVH hat tatsaechlich bei einem Server fuer nicht mal 20 Euro/Monat innerhalb von 45 Minuten das Mainboard getauscht! Wie geil ist das bitte? Was waer gewesen, wenn ich einen teureren Server gemietet haette? Haetten die mich dann mit nem Heli abgeholt und nach Roubaix geflogen, damit ich einem Techniker im kleinen Gesellschaftsanzug (inkl. Kummerbund) dabei zusehen kann wie er mit spitzen Fingerchen das Board tauscht, waehrend mir dressierte Pfauen Kaviar und Champagner kredenzen? So in etwa stell ich mir das vor.

OVH hat mich vor Jahren schon einmal ueberrascht. Damals wurde bei einer RPS (9 Euro/Monat, Kleinsthardware, HDD per iSCSI, Swap aufm USB Stick) Sonntag Nachts das Netzteil getauscht.

Wer also nach einem kompetenten Hoster sucht: Ich kann OVH bisher nur voll und ganz empfehlen! Auch dass die sich ihren eigenen Windpark zur Stromversorgung auf die heimische Wiese zimmern finde ich sehr sympathisch.

reCAPTCHA

nospam@example.com (Jens) — Fri, 15 Jul 2011 13:09:33 +0200

Da ich die Idee hinter reCAPTHA super finde, hab ich die Captchas hier im Blog auf reCAPTCHA umgestellt.

Schaubefehl zum Eintrag:

Zwei-Faktor-Authentifizierung mit Google Authenticator und des kleinen Mannes Nucular Code Sealed Authenticator System

nospam@example.com (Jens) — Mon, 11 Jul 2011 11:16:00 +0200

Google hat letztes Jahr fuer Google Apps Accounts optionale Zwei-Faktor-Authentifizierung, oder, wie sie es nennen, "Bestaetigung in zwei Schritten", eingefuehrt. Zusaetzlich zu dem was man weiss, seinem Passwort, benutzt man fuer die Authentifizierung beim Login noch etwas dass man besitzt: (s)ein Handy. Dazu bekommt man entweder von Google eine SMS mit einer pseudozufaelligen Ziffernfolge, oder diese wird von einer App auf dem Telefon alle 30 Sekunden neu erzeugt. Entsprechende Apps gibt es fuer Android, iPhone und Blackberry.

Zusaetzlich bietet Google ein PAM Modul an, mit dem sich die Zwei-Faktor-Authentifizierung relativ aufwandsarm auch unter Linux und Co. nutzen laesst.

"Zwei-Faktor-Authentifizierung mit Google Authenticator und des kleinen Mannes Nucular Code Sealed Authenticator System" vollständig lesen

Happy World IPv6 Day FF0E::1

nospam@example.com (Jens) — Wed, 08 Jun 2011 00:01:00 +0200

Jaja, ich weiss, es gibt kein all-nodes im global scope

Ich musste schmunzeln. Sehr.

nospam@example.com (Jens) — Mon, 06 Jun 2011 15:53:46 +0200

Eben in meiner Timeline:

Mit ihren eigenen Produkten? Srsly?

Check Point SPLAT R75 und IPv6

nospam@example.com (Jens) — Thu, 02 Jun 2011 17:27:00 +0200

(click here for the english version)

In den letzten Tagen habe ich etwas mit einer Check Point R75 auf Secure Plattform, kurz SPLAT, rumgespielt. SPLAT ist eine auf Red Hat basierende und von Check Point gehaertete Linux Installation, die die Check Point Firewall gleich mitbringt. Dabei haben mich weniger die tollen 3D (3D ist das neue schwarz) Security Features, sondern der Entwicklungsstand was IPv6 angeht interessiert. Da Check Point vor ueber sieben Jahren schon verkuendete, sie seien quasi die ersten, die IPv6 ernst naehmen und entsprechend unterstuetzen wuerden, wird sich ja bis heute sicherlich einiges getan haben. So zumindest meine Vermutung.

Hier meine ersten Eindruecke.

"Check Point SPLAT R75 und IPv6" vollständig lesen

IPv6 Kongress 2011 Nachlese

nospam@example.com (Jens) — Sun, 15 May 2011 16:29:00 +0200

Vom 12. bis 13.5. fand in Frankfurt der 3. von heise Netze, iX und DE-CIX ausgerichtete IPv6 Kongress statt und ich durfte mir das Ganze mal ansehen. Hier mein Fazit.

"IPv6 Kongress 2011 Nachlese" vollständig lesen

Erster Provider setzt auf Carrier Grade NAT. Statt IPv6.

nospam@example.com (Jens) — Sat, 23 Apr 2011 21:47:24 +0200

Wie die meisten unter euch mitbekommen haben werden, hat die IANA Anfang des Jahres die letzten fuenf /8 IPv4 Adressbloecke an die fuenf RIRs verteilt. Die wiederum verteilen jetzt das was sie noch an Bereichen haben weiter an die LIRs und die dann entsprechend weiter an ihre Kunden. Noch gibt es Adressen, aber langsam wird es knapp.

Das APNIC in Asien ist mittlerweile bei seinem letzten /8 angekommen und erlaubt den LIRs nur noch Reservierungen von /22er Netzen (1024 IPs).

In Europa wird das RIPE vermutlich Ende 2011/Anfang 2012 bei seinem letzten /8 angekommen sein. Positive Schaetzungen reichen sogar bis Mai 2012, die Pessimisten sprechen von September 2011. Die RIPE burn-rate liegt bei etwa 150.000 Adressen/Tag. Momentan hat das RIPE noch knapp fuenf /8 Netze.

In einem Forenposting kuendigte der (mir bisher komplett unbekannte) Provider encoLine nun an, zukuenftig Carrier-grade NAT einsetzen zu wollen. Statt IPv6. Denn die "Fachleute" (!) wuerden bei der Umstellung auf IPv6 mehr Probleme erwarten als bei NAT... Na da bin ich ja mal gespannt.

Kunden, die auch weiterhin eine offizielle IPv4 Adresse bei der Einwahl zugewiesen bekommen wollen, muessen dies "glaubhaft" begruenden und ggfs. extra zahlen. Fuer Neukunden kostet die offizielle IP einmalig 10 Euro und monatlich 2 Euro, Bestandskunden bekommen noch fuer ein Jahr kostenlos offizielle v4 Adressen.

Das CGN kommen wird, war klar. Das die Ersten so schnell damit starten, hat mich ueberrascht. Interessant ist in meinen Augen die Aussage, dass encoLine vom RIPE keine IPv4 Adressen mehr bekommen wuerde. Da scheint also bei encoLine bzw. dem Zusammenspiel zwischen encoLine und RIPE gehoerig was falsch zu laufen, denn ansich vergibt das RIPE ja noch Adressen.

Angry Cloud: Die Dropbox Policy und der falsche Heiland Truecrypt

nospam@example.com (Jens) — Thu, 21 Apr 2011 16:20:00 +0200

Dropbox (Referal Link), der wohl bekannteste Anbieter von einfach zu synchronisierendem Speicherplatz in der Wolke, hat vor einigen Tagen seine Nutzungsbedingungen dahingehend geaendert, dass sie im Fall von Gefahr fuer Leib und Seele oder bei entsprechenden Gesuchen der Ermittlungsbehoerden diesen trotz Verschluesselung den Zugriff auf die bei ihnen gespeicherten Daten und Dateien eines Dropbox-Nutzers gewaehren.

As set forth in our privacy policy, and in compliance with United States law, Dropbox cooperates with United States law enforcement when it receives valid legal process, which may require Dropbox to provide the contents of your private Dropbox. In these cases, Dropbox will remove Dropboxs encryption from the files before providing them to law enforcement.

Ansich jetzt nichts wirklich Neues oder Bedenkliches. Vermutlich jeder US Anbieter solcher und aehnlicher Dienste wird kooperieren wenn eine TLA bei ihnen anklopft. Und Dropbox erklaert auch, wie sich das umgehen laesst:

However, Dropbox will not be able to decrypt any files that you encrypted prior to storing them on Dropbox.

Alles also halb so wild. Zumindest meiner Meinung nach. Die Aufregung war trotzdem mittelmaessig gross, denn, und nun kommt's, wenn die ihre Verschluesselung entfernen koennen um die Daten den Spooks zu geben, dann haben die ja selber auch Zugriff auf die Daten!!1! OMFG!!1!

No kidding Sherlock! Natuerlich haben die Zugriff auf die verschluesselten Daten, sie ver- und entschluesseln sie ja auch fuer den User (Public-Links, Webinterface...). Einen eigenen (private) Key o.ae. kann man nicht einbinden.

Aber ist ja alles nicht so schlimm, denn, wir erinnern uns:

However, Dropbox will not be able to decrypt any files that you encrypted prior to storing them on Dropbox.

Wer seine Daten kontrolliert verschluesselt wissen will, muss sich da (wie immer) besser selber drum kuemmern. Bevor sie den eigenen Rechner Richtung Cloud verlassen. Dann koennen weder die TLAs noch Dropbox in den Daten wuehlen. Beiden sollte man ja auch zu Recht nicht vertrauen. Prima, selber zusaetzlich verschluesseln also. Und die "Community" ist sich oft auch recht einig darueber womit: TrueCrypt.

"Angry Cloud: Die Dropbox Policy und der falsche Heiland Truecrypt" vollständig lesen