Tag: software
kurz notiert: postfix sslv3 deaktivieren
wieder eine keine notiz fuer mich selbst.. schon ein paar tage her, aber ich brauche es bestimmt nochmal 😉
in der /etc/postfix/main.cf einfuegen bzw. anpassen, wenn schon vorhanden:
smtpd_tls_mandatory_protocols = !SSLv2 !SSLv3
smtp_tls_mandatory_protocols = !SSLv2 !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2 !SSLv3
…und pruefen, ob in der master.cf nicht auch noch was von diesen optionen drin steht… ggf. anpassen.
EDIT:
und testen kann man den spass dann damit:
openssl s_client -starttls smtp -crlf -ssl3 -connect mail.domain.tld:25
rauskommen sollte sowas mit “ssl handshake failure”:
CONNECTED(00000003)
140240541128360:error:14094410:SSL routines:SSL3_READ_BYTES:
sslv3 alert handshake failure:s3_pkt.c:1258:SSL alert number 40
140240541128360:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:
ssl handshake failure:s3_pkt.c:596:
[...]
android verschluesseln – anderes kennwort als bei bildschirmsperre
das android telefon verschluesseln… ja, das wollte ich schon immer mal machen. ein bischen gegoogelt und erstmal enttaeuscht gewesen. das lag aber mehr daran, dass irgendwelche superspezialspezialisten geschrieben haben, dass das passwort zum verschluesseln dem der bildschirmsperre entspricht und man es nicht mehr aendern kann. nicht ganz richtig – beim verschluesseln wird dieses kennwort genommen – aber man kann es nachher fuer die bildschirmsperre wieder aendern in was einfacheres. (zumindest ist es bei meinem android so. vielleicht war das frueher mal anders?). das allerbeste was ich gefunden habe, war irgendein forenhonk der meinte, dass man alles gleich der pin der simkarte setzen muesse, da es sonst zu problemen kommt. muhahaha. wie bei den meisten sachen mit computern sitzt das problem wohl vor dem bildschirm 😉
aber >hier< standen dann die erloesenden worte:
Android nutzt zum Verschlüsseln das von Ihnen eingegebene Sperrpasswort bzw. die entsprechende PIN. Wenn Sie einen langen Schlüssel nutzen möchten, diesen aber später nicht immer beim Entsperren des Handys eingeben wollen, dann setzen Sie vor dem Start der Verschlüsselung ein langes Passwort. Nach dem Abschluss der Verschlüsselung ändern Sie das Passwort für die Bildschirmsperre wieder zurück, die Verschlüsselung bleibt davon unbeeinflusst
also einfach mal gemacht… und siehe da. es geht. enttaeuscht war ich etwas von der beschraenkung beim passwort:
vielleicht ist das googles kompromiss bei den auflagen der nsa? 😛
das booten dauert nun etwas laenger, aber sonst fuehlte ich keine unterschiede bei der perfomance.
huawei E5776 und t-mobile multisim
seit ich den huawei lte router E5776 habe, war es tagsueber verdammt ruhig auf dem handy. hin und wieder habe ich eine sms bekommen, dass mich jemand angerufen hat und ich habe zurueck gerufen. anfangs habe ich das auf den schlechten empfang im buero geschoben, aber dann haeuften sich die “beschwerden”. bei mir waere staendig besetzt?? ein kurzer selbsttest bei dem ich vom festnetz aus mein handy angerufen habe, hat das bestaetigt. und dabei hat das handy gutes (bestes! grrrr.) netz angezeigt… wtf?
die raetsels loesung ist:
ich habe mehrere simkarten von t-mobile… auch multisim genannt. bei diesem provider ist es so, dass die anrufe auf allen simkarten gleichzeitig ankommen. der tolle neue router weiss natuerlich, dass er nicht telfonieren kann und weisst den anruf mit einem “besetzt” ab. tolle wurst.
ein anruf bei der hotline hat mir den entscheidenden tipp gebracht… kurze recherchen haben ergeben, dass dieses verhalten bei diesen geraeten quasi normal ist. dann galt es, eine vm mit windows zu starten und mit hyperterminal einen at-befehl an das modem des routers zu uebergeben. jo.. windows 7 hat kein hyperterminal. irgendwo habe ich dann die dateien des guten alten hyperterminals von XP gefunden. nachdem die treiber fuer den router installiert waren und das geraet per usb verbunden war, konnte es losgehen. in der o.g. beschreibung sollte fuer die “neueren” geraete (zu denen meiner zaehlt) der folgende befehl abgesetzt werden:
AT^SYSCFGEX=â€00″,3FFFFFFF,1,1,7FFFFFFFFFFFFFFF,,
…erfolglos. mit dem “alten” befehl gings dann:
AT^SYSCFG=2,2,3FFFFFFF,1,1
und “schon” kann ich wieder angerufen werden, solange der router internetverbindung hat… *kopfschuettel*
visual c++ 2012 redistributable als msi?
microsoft bietet die installationsprogramme der visual c++ redistributables als .exe datei an. toll fuer “normaluser”, aber nicht schoen fuer einautomatisches deployment. bei den aelteren versionen konnte man die .exe-datei extrahieren und bekam die darin enthaltenen .msi-dateien. bei der 2012er version haben sie sich was einfallen lassen, was genau dieses verhindert. man kommt aber trotzdem da ran. dazu installiert man sich erstmal diese software manuell und sucht in der registry zwei keys, welche beim eintrag “DisplayName” diese werte haben:
Microsoft Visual C++ 2012 x64 Minimum Runtime - 11.0.51106
Microsoft Visual C++ 2012 x64 Additional Runtime - 11.0.51106
…bzw. die entsprechende versionsnummern, die man installiert hat. finden wird man in diesem fall z.b. die beiden keys:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\{3C28BFD4-90C7-3138-87EF-418DC16E9598}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\{5AF4E09F-5C9B-3AAF-B731-544D3DC821DD}]
unterhalb dieser keys befindet sich jeweils ein eintrag mit dem namen “InstallSource”. dieser enthaelt den ordner im dateisystem, in welchem die gewuenschten msi-installationsdateien zu finden sind.
C:\ProgramData\Package Cache\
{3C28BFD4-90C7-3138-87EF-418DC16E9598}v11.0.51106\
packages\vcRuntimeMinimum_amd64\
C:\ProgramData\Package Cache\
{5AF4E09F-5C9B-3AAF-B731-544D3DC821DD}v11.0.51106\
packages\vcRuntimeAdditional_amd64\
natuerlich funktioniert die installation der msi dateien auch nicht ohne weiteres, sondern wird mit einer fehlermeldung quittiert:
To install this product, please run Setup.exe.
For other installation options, see the
Installation section of ReadMe.htm.
um diese zu umgehen, einfach beim aufruf diesen parameter uebergeben:
ADDEPLOY=1
tomcat: JAVA_HOME should point to a JDK not a JRE
der apache tomcat unter windows hat eine “service.bat” dabei, mit welcher man den zugehoerigen dienst installieren kann. diese fehlermeldung kam mir die tage unter:
beim ersten lesen dachte ich “wtf?”.. ich brauche doch kein JDK, um einen tomcat laufen zu lassen. so ist es auch… eine JRE reicht aus. allerdings darf man dann nicht die environment variable JAVA_HOME setzen, sondern muss diese JRE_HOME nennen. in meinem fall waren beide gesetzt, was zu dieser fehlermeldung fuehrte…
skype und android 2.2
heute eingetrudelt:
wtf? das muss ja schon ca 100 jahre her sein… ich glaube eher (so in meinem falle), dass die mit so einer mail skype mal wieder ins gedaechtnis rufen wollen. ich nutze das vielleicht zwei mal im jahr. und das auch nur, wenn mein “kommunikationspartner” strikter verweigerer anderer mittelchen sind.
automx and multiple domain names
in meinem ersten beitrag zu automx hatte ich ganz zum schluss geschrieben, dass es der autodiscover funktion von microsofts outlook noch ein bischen erklaerung bedarf. da die tage auf der automx mailingliste diese frage auftauchte, poste ich meine kurze antwort auch mal hier…
das wesentliche steht in einem technet blog.
autodiscover in seiner urspruenglichen variante fragt einen webserver nach den konfigurationsdaten fuer outlook ab. dabei wird der domainpart (microsoft nennt das “smtpdomain”) der mailadresse genutzt und in dieser reihenfolge nach der konfiguration gesucht:
https:///Autodiscover/Autodiscover.xml
https://autodiscover./Autodiscover/Autodiscover.xml
http://autodiscover./Autodiscover/Autodiscover.xml
fuer betreiber mehrerer domains (z.b. hoster) ist das mit dem ssl etwas schwierig, da fuer jede dieser domains ein eigener vhost mit einem eigenen zertifikat eingrichtet werden muesste. die variante ohne ssl verschluesselung will man nicht nutzen, da es um sensible daten geht.
seit outlook 2007 ist ein neues feature zum autodiscover mechanismus dazu gekommen, welches es mittels eines SRV dns eintrages erlaubt, eine weiterleitung zu einem autodiscover server zu machen, der z.b. nicht der “smtpdomain” der emailadresse entspricht. an der urspruenglichen reihenfolge des mechanismuses aendert sich nichts – der SRV record wird zum schluss abgefragt:
https:///Autodiscover/Autodiscover.xml
https://autodiscover./Autodiscover/Autodiscover.xml
http://autodiscover./Autodiscover/Autodiscover.xml
SRV record query for _autodiscover._tcp.
ein beispiel von der microsoft seite, wie dieser mechanismus greift:
1. Autodiscover sendet an “https://contoso.com/Autodiscover/Autodiscover.xml”. Hierbei tritt ein Fehler auf.
2. Autodiscover sendet an “https://autodiscover.contoso.com/Autodiscover/Autodiscover.xml. Hierbei tritt ein Fehler auf.
3. Autodiscover führt die folgende Überprüfung auf automatische Umleitung durch:
GET http://autodiscover.contoso.com/Autodiscover/Autodiscover.xml
Hierbei tritt ein Fehler auf.
4. Autodiscover verwendet die DNS-SRV-Suche für “_autodiscover._tcp.contoso.com”, und es wird “mail.contoso.com” zurückgegeben.
5. Der Benutzer wird von Outlook aufgefordert zu bestätigen, dass Autodiscover weiterhin an “https://mail.contoso.com/autodiscover/autodiscover.xml” senden soll.
6. Die POST-Anforderung von Autodiscover wird erfolgreich an “https://mail.contoso.com/autodiscover/autodiscover.xml” gesendet.
outlook bringt dann aber eine etwas unschoene meldung:
dazu gibt bei microsoft auch was zu lesen.
was auch unschoen ist: mit allen von mir getesteten outook versionen bekommt man nach dem autodiscover keine auswahl zwischen pop3 und imap (wenn man beides anbietet), sondern es wird der erste eintrag genommen. bei einem mailclient wie z.b. thunderbird kann man zwischen den beiden protokollen auswaehlen, wobei hier das erste in der autoconfig “auslieferung” der default wert ist. wer seinen benutzern imap als default anbieten will und den outlook nutzern pop3, der muss sich zwei instanzen von automx einrichten. dank verschiedener urls fuer outlook und den rest der welt stellt das kein problem dar. und es gibt sehr viele gute gruende, seinen outlook nutzern undbedingt pop3 statt imap vorschreiben zu wollen.
DIY werbeblocker
wo wir gerade bei werbung waren… werbeblocker in browsern sind ja eh doof, weil da teilweise auch eine riesige geldmaschine dahinter steht. (also nicht bei der werbung, sondern auch bei den werbeblockern!)
hier eine kurze beschreibung, wie ich mir einen rudimentaeren werbeblocker selbst gebastelt habe. und da ich von natuer aus neugierig bin, wollte ich auch ein bischen statistik haben, was mir das ganze bringt.
als erstes brauchen wir eine liste bekannter urls der anbieter von werbung. es gibt eine android app, welche eine solche liste bzw mehrere listen aus dem netz zieht und diese kumuliert in die hosts datei des geraetes rein kopiert. die hostnamen der “ad-server” werden dann einfach auf localhost (127.0.0.1) umgeleitet und die anfragen landen so im nirvana, weshalb keine werbung angezeigt wird. praktischerweise stehen die urls der gepflegten listen auch als kommentar drin:
# http://adaway.org/hosts.txt
# http://hosts-file.net/ad_servers.asp
# http://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&showintro=0&mimetype=plaintext
# http://winhelp2002.mvps.org/hosts.txt
diese laedt man sich einfach runter und fügt sie ans ende seiner eigenen hosts datei an. wo die hosts datei bei welchem betreibssystem liegt, sagt euch wikipedia. theoretisch funktioniert das nun schon. praktisch ist diese liste schon immer beim erscheinen veraltet und muss staendig aktualisiert und ergaenzt werden. deshalb sollte man sich fuer diese arbeit ein scriptchen bauen und regelmaessig laufen lassen. (todo fuer die zukunft: die hosts des dsl routers damit fuettern, damit man das nicht fuer jedes geraet im lan machen muss.)
wie schon erwaehnt wollte ich auch wissen, was da denn ueberhaupt ablaeuft, was wie und wie oft “geblockt”. dazu habe ich die eintraege in der hosts nicht auf 127.0.0.1 umgeleitet, sondern auf die ip eines webservers bei mir im lokalen netz. dieser liefert nur eine leere seite zurueck und schreibt mir die aufrufe in eine logdatei.
das erledigt ein kleines php skriptchen, welches ich als index.php abgespeichert habe:
damit auch alles “funktioniert”, was nach dem hostnamen in aufruf einer url steht und nicht vom webserver mit einem “not found” quittiert wird, werden alle anfragen per .htaccess datei auf die zuvor erstellt datei index.php umgeleitet. um zu verhindern, dass die index.php in einer schleife auf sich selbst umgeleitet wird, muss man sie “excluden”. selbiges macht man mit dem logfile, damit man es sich auch im browser anschauen kann.
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_URI} !index.php
RewriteCond %{REQUEST_URI} !adblock.log
RewriteRule .* index.php [R=307,L]
voila… 10 minuten arbeit mit testen. ein wenig finetuning kann man natuerlich noch machen. vielleicht poste ich nochmal was.
und was hats gebracht? beim morgendlichen stöbern in den news des tages, die man so bei ner tasse kaffe liest, wurden mir in 15 minuten ganze 358 (!!!!) werbeeinblendungen NICHT angezeigt. wenn man sich diese zahl anschaut – liebe webseitenbetreiber – da wundert ihr euch, dass menschen werbeblocker benutzen? so viel werbung kann man in 15 minuten gar nicht verarbeiten.
der focus online hats dann aber doch gemerkt, obwohl ich im browser keinen werbeblocker installiert habe. da muss ich nochmal ein bischen forschen, wie die das machen und wie man das umgehen kann.
eine idee fuer einen werbe blocker im browser waere doch, dass die werbung zwar geladen, aber nicht angezeigt wird. so muessten die bloeden webseitenbetreiber nicht mehr rumnoehlen, dass ihnen die werbeeinnahmen (von den einblendungen) floeten gehen und die besucher waeren gluecklich. die paar leute, die es auf der welt gibt, die wirklich werbung anklicken, haben und wollen sicher auch keinen werbeblocker.
to be continued… 🙂
der hello world bot
der programmierer dieses bots war vielleicht ein raffinierter hund! der hat einfach seinen ersten hello-world-code modifiziert! was ein ausgebufftes schlitzohr…
ich habe keinen blassen schimmer, was sich die betreiber einer webseite von solchen bots erhoffen. ich habe auch keinen blassen schimmer, was sich die programmierer dabei denken. fuer geld machen sie scheinbar alles.
update: ah, ok. der spricht zwar deutsch, aber versteht nur englisch. zumindest diese beiden, sehr gelaeufigen worte 😉
was ein zufall?
die tage habe ich mich gewundert, dass die app “mobilbox pro” von der telekom beim update ueber den playstore eine bestaetigung wegen geaenderter berechtigungen benoetigt. “in-app-kaeufe” sollen ermoeglicht werden. ich dachte mir noch “was soll das”, warum will eine app zum komfortablen abhoeren der mailbox in der app was kaufen duerfen… hab aber dann doch zugestimmt.
heute morgen nach dem aufstehen habe ich dann gewusst warum, denn ich habe folgende nachricht bekommen:
nun gut… soll speech-to-text soll geld kosten. will ich eh nicht haben. und genau zur gleichen uhrzeit (02:43) kam diese sms:
solche sms sind nun auch nix neues und mit genau diesem text und dieser nummer findet man ehrfahrungen anderer leute im netz.
fuer mich als part-time-hobby-verschwoerungstheoretiker ist es aber nun verdammt auffaellig, dass diese beiden unerwuenschten nachrichten mitten in der nacht zur exakt gleichen uhrzeit kamen. die werden doch wohl nix miteinander zu tun haben?