Chris' personal blag

Screen mit vertikaler Split-Option

nospam@example.com (Chris) — Sat, 12 Jul 2008 23:01:19 +0200

Screen mit ein paar Fenstern

Mal wieder ein Debian-Package: Screen 4.1CVS (amd64), für i386 und Sparc gibts das Paket bei dem Menschen, der es ursprünglich auch gebaut hat.

Das besondere bei diesem Screen ist, das er Fenster vertikal splitten kann (^A |), was bei 16:10-Monitoren besonders super ist.

Das Paket ist übrigens für Debiane größer gleich testing uninteressant, da gibt es Screen mit |-Funktion in main.

Lighttpd und SNI: SSL ohne Extra IPs

nospam@example.com (Chris) — Thu, 10 Jul 2008 23:25:43 +0200

SNI ist eine tolle Sache. Damit kann man nämlich Webserver betreiben, die mehrere SSL-Seiten auf einer IP, und einem Port hosten. Normalerweise braucht man ja immer eine Extra-IP pro SSL-Seite, da der Browser sonst mit dem Zertifikat nicht zurecht kommt. Mitfhile von SNI teilt der Browser dem Webserver erst mit, welche Seite er möchte, und bekommt dann das passende Zertifikat.

Für Lighttpd gibt es hier einen Patch für SNI-Support.
Mithilfe dieser Anleitung für APT und DPKG ist es recht einfach gepatchte debian-Pakete zu erstellen.

Ich hab da mal was vorbereitet, Lighttpd-SNI für Debian stable (amd64/i386) und für Debian testing (i386).

Sind die Pakete installiert, kann /etc/lighttpd/conf-enabled/10-ssl.conf wie folgt angepasst werden:



# /etc/lighttpd/conf-available/10-ssl.conf

#### SSL engine

$SERVER["socket"] == "0.0.0.0:443" {

                  ssl.engine                  = "enable"

                  ssl.pemfile                 = "/etc/lighttpd/server.pem"



                  $HTTP["host"] == "foo.bar.example.com" {

                    ssl.pemfile = "/etc/lighttpd/foo.bar.pem"

                    }

                  $HTTP["host"] == "spam.eggs.example.org" {

                    ssl.pemfile = "/etc/lighttpd/spam.eggs.pem"

                    }

}

Das Zertifikat server.pem wird hierbei für alle nicht definierten Hostnamen ausgeliefert, sowie für Browser die SNI nicht unterstützen.
Das sind vor allem die üblichen alten Versionen von IE, Konqueror (der es ab KDE 4.1 können soll), und der darauf aufbauende Safari...

Trotzdem schonmal ne tolle Sache.

Ein Tag, ein Bild: Red Dwarf-Fanartikel?

nospam@example.com (Chris) — Fri, 13 Jun 2008 14:57:03 +0200

Smeggin' Fridge!

Ein Tag, ein Bild: Finkenwerder

nospam@example.com (Chris) — Wed, 11 Jun 2008 11:07:02 +0200

Das Schöne an Hamburg: Man kann auch schonmal mit dem Schiff zur Arbeit fahren... :)

Mailinator mit eigenen Domains

nospam@example.com (Chris) — Thu, 05 Jun 2008 17:23:11 +0200

Mailinator ist super, inzwischen muß man sich ja an allen Ecken und Enden im Web anmelden - Web 2.0 lässt grüßen.
Nun, man will ja nicht jedem seine E-Mailadresse verraten, um hinterher mit allem möglichen Müll zugeschmissen zu werden.
Also nimmt man Adressen von Mailinator, die E-Mail zur Aktivierung des Accounts oder sonstwas holt man von deren Webseite, und danach wird man nicht mehr genervt. Toll.
Nur, inzwischen blocken viele Webseitenbetreiber die Domains von Mailinator als ungültige oder nicht erlaubte E-Mailadressen, was ziemlich nervt.

Nun kommt der Trick:
Der Mailserver von Mailinator nimmt alle Mails an und stellt sie an die virtuellen Benutzer zu, egal auf welcher Domain.
Wer also eine eigene Domain hat, kann für beliebige Subdomains mail.mailinator.com als MX eintragen, und fortan *@subdomain.domain.tld bei Mailinator nutzen.

Mailinator - Let Them Eat Spam!

Ein Tag, ein Bild: Freiheit statt Angst!

nospam@example.com (Chris) — Sat, 31 May 2008 16:21:40 +0200

Selten eine Demo komplett ohne Knüppelgarde erlebt...

SSL mit Namecheap

nospam@example.com (Chris) — Thu, 22 May 2008 02:27:55 +0200

SSL ist ne tolle Sache.
Die Verbindung zwischen Browser und Server kann man eigentlich nicht oft genug verschlüsseln, Login fürs Blag, Webmail, privates Miniwiki als Notizzettel, es gibt viele Spielereien die man unterwegs gut im Browser brauchen kann.

Nun, der Haken ist, unterwegs habe ich meine Zertifikate nicht dabei. Bedeutet, wenn ich sie selber erzeuge, das der Browser eine Fehlermeldung wirft, er kenne mein Zertifikat nicht. Nun, das kann man dem Browser bekannt machen.
Möglichkeit 1, ich überprüfe den Fingerprint des Zertifikats und sage dem Browser hinterher, er solle es akzeptieren. Geht, ist aber umständlich und eher doof.
Möglichkeit 2, ich lasse CACert Zertifikate für mich ausstellen. Nachteil: CACert kennen die Browser auch nicht - ich muß also das CACert-Zertifikat installieren. Solange sich CACert also nicht durchsetzt, im Grunde dasselbe wie vorhin.
Möglichkeit 3, auf die ich durch unser Fachschaftsforum stieß - StartSSL Free, deren Root-Zertifikat ist in einem der beiden großen Browser vorinstalliert - ich meine es war Mozilla. Findet man unterwegs auf fremden Rechnern nur andere Browser beginnt der Spaß mit Fingerprints wieder.
Möglichkeit 4, von der ich bisher immer Abstand nahm - ein Zertifikat erwerben, von einem Aussteller der ein in den Browsern dieser Welt vorinstalliertes Zertifikat hat. Das war mir bisher immer viel zu teuer.

Achtung, nun beginnen die Lobgesänge:
Vor kurzem stolperte ich über Namecheap, und begann dort Domains zu erwerben, und entdeckte später ihr Angebot an Zertifikaten. Los gehts ab 14.88 US$, in Euro also fast nichts, momentan sind das keine 10 Euro. Dafür gibt es ein Zertifikat, dessen Root in vielen Browsern vorinstalliert ist - bisher hats nur mit meinem Symbian-Handy nicht auf Anhieb geklappt. Aber im Normalfall braucht man also nie wieder Fingerprints zu checken - für ein Jahr.

Nun kommt der Teil, weswegen ich hier eigentlich diese Produktwerbung betreibe:
Vor kurzem ereignete sich bei Debian ein mittelschwerer Eklat um SSL-Zertifikate, der bewirkte das auf Debian-Systemen erstellte SSL-Schlüssel verwundbar waren, und das schon seit Ende 2006.
Bedeutet, alles was ich auf meinen Rechnern in den letzten 1,5 Jahren an Schlüsselmaterial erzeugt habe kann gelöscht werden, die damit erzeugten Zertifikate ebenfalls. Toll. und das nachdem ich mich grade mal durchgerungen habe Geld dafür auszugeben.

Aber, gestern kam von RapidSSL, dem Anbieter hinter Namecheap, das Angebot, alle erstellten Zertifikate kostenfrei neu zu erstellen, wegen des Debian-Bugs. Schöne, kulante Aktion, wie ich finde, und das für den Preis... :)

Ein Tag, ein Bild: Fire!

nospam@example.com (Chris) — Thu, 08 May 2008 23:07:01 +0200

I want you to burn!

Ein Tag, ein Bild: Sadisten...

nospam@example.com (Chris) — Wed, 07 May 2008 10:57:03 +0200

....haben die Tastatur neu erfunden. Und wieso kauft man sowas?

Ein Tag, ein Bild: Hamburger Stadtgebiet

nospam@example.com (Chris) — Mon, 05 May 2008 10:15:02 +0200

....kommt in vielen Formen. Und ich mag frühe Feierabende. ;)

Ein Tag, ein Bild: 2. Internationales Bierfest

nospam@example.com (Chris) — Sat, 03 May 2008 13:07:02 +0200

Heut wird ein guter Tag...

Ein Tag, ein Bild: Astra Alster

nospam@example.com (Chris) — Tue, 29 Apr 2008 21:15:02 +0200

Alsterwasser jetzt auch ohne doofe Dose. Schoen. :)

Ein Tag, ein Bild: Mountain Dew

nospam@example.com (Chris) — Thu, 24 Apr 2008 20:37:02 +0200

Schonmal Lebensmittel bei eBay ersteigert? Ich schon. :)

Ein Tag, ein Bild; Rama

nospam@example.com (Chris) — Thu, 17 Apr 2008 20:07:02 +0200

Die richtige Platzierung im Regal: Die Rama fuehlt sich zwischen Sanella und Laetta scheinbar am wohlsten...

Schäuble is watching you

nospam@example.com (Chris) — Fri, 21 Mar 2008 13:57:01 +0100

....diesen Aufkleber sieht man im Pons in Lüneburg beim pinkeln. Beängstigend...