Alle Beiträge von adlerweb
MySQL-Fehler: XMBC/OpenELEC lässt keine Änderungen an der Filmdatenbank zu
Narf? Muss das sein? Beim automatischen Import meines neu sortierten TV-Aufnahmen-Speichers ist in XMBC bzw. OpenELEC so einiges nicht ganz da gelandet, wo es sollte. A Clockwork Orange von 2013? Guess not.
Keine große Sache, oder? Einfach manuell aktualisieren und den richtigen Eintrag auswählen, schon wird alles aktualisiert, so weit die Theorie. In der Praxis landete ich wieder auf der selben, falschen Detailansicht.
Schuld war meine MySQL-Datenbank, diese liegt – da ich mehrere XMBCs betreibe – auf einem zentralen Server. In der Log-Datei (/storage/.xbmc/temp/xbmc.log) fand sich folgende Zeile:
ERROR: SQL: Undefined MySQL error: Code (1548)
Query: delete from movie where idMovie=146
ERROR: DeleteMovie failed
Hm – strange, also auf in phpMyAdmin und nachgeschaut. Ein Film mit idMovie=146 existiert, so weit so gut, aber auch hier funktioniert der Delete nicht und vermeldet:
Cannot load from mysql.proc. The table is probably corrupted
Schuld sind die integrierten Trigger/Funktionen/… der XMBC-Datenbank in Kombination mit einem verpennten Update. Der MySQL-Server selbst wurde eine Version hochgezogen, die Datenbanken aber nicht aktualisiert. Ein einfaches
mysql_upgrade
(ggf. mit -uroot -p) bringt alles auf den neuesten Stand und die MediaDB kann wieder bearbeitet werden.
AC3-Dateien anhängen
OK, zugegeben, einfacher gehts nicht, aber da man das einfachste gerne Übersieht: AC3-Dateien (aka Audio nach A/52) haben – zumindest soweit ich sehe – alle nötigen Metadaten im Stream und nicht in am Dateianfang oder -ende, entsprechend können die Dateien einfach aneinander gehangen werden:
cat 1.ac3 2.ac3 3.ac3 > full.ac3
PHP (Linux, CLI) clear screen
Wenn man PHP auf der CLI nutzt könnte man in die Versuchung kommen den Bildschirm leeren zu wollen, also in etwa das selbe, was der Linux-Befehl „clear“ macht. Da bei exec (so vermute ich) die Termcaps nicht übergeben werden funktioniert ein exec(‚clear‘); nicht sonderlich. Wenn man immer das selbe Terminal nutzt lassen sich die nötigen Steuerzeichen direkt als echo hinterlegen. Um die Zeichen zu ermitteln loggt man sich normal auf der gewünschten Konsole ein und startet „clear | xxd“ – hier sieht man die für das aktuelle Terminal nötigen Steuerzeichen in Hex. In meinem Fall
0000000: 1b5b 481b 5b32 4a .[H.[2J
in PHP verpackt ergibt sich dann (ausgeschrieben) folgende Zeile:
echo chr(0x1b) . chr(0x5b) . chr(0x48) . chr(0x1b) . chr(0x5b) . chr(0x32) . chr(0x4a);
Spaß mit TLS – 1.0 vs. 1.2
TLS dürfte jedem Internetnutzer bekannt sein – naja, OK, vielleicht nicht unter dem Namen, aber spätestens bei Ablegern wie „HTTPS“ sollte es Klick machen. TLS stellt quasi die Basis der verschlüsselten Kommunikation im Internet dar – Shopping, Onlinebanking, E-Mails & co werden so vor unerwünschten Einblicken geschützt. 1999 wurde die erste Version offiziell spezifiziert, eine Weiterentwicklung der Netscape-Erfindung SSL.
Computertechnik ist nicht gerade dafür bekannt, dass sie sonderlich lange hält, daher ist es kaum verwunderlich, dass der Standard inzwischen mehrmals erneuert wurde. Aktuell ist TLS 1.2 aus dem Jahr 2008, welches u.A. einige Lücken schließt.
Natürlich konnte ich nach dem Hinweis von SemperVideo es nicht lassen mal einen Blick auf diverse Seiten zu werfen. Während viele private Blog und andere Auswüchse des „Social Media“-Bereiches häufig bereits TLS 1.2 im Einsatz haben sieht es bei klassischen Firmen eher mau aus – als Beispiel sei hier der Onlineriese Amazon und die Banken der VR-Gruppe Süd genannt, welche beide lediglich TLS 1.0 anbieten – erstere sogar ohne PFS, welches Angriffe vielfach erleichtert.
Im Falle der Bank konnte ich eine Stellungnahme der GAD erhalten, welche für die Betreuung der technischen Infrastruktur zuständig ist.
Guten Tag,
unsere Sicherheitsstandards werden regelmäßig durch unsere Experten überprüft, verändert und ggf. erneuert. So auch in dem von Ihnen genannten Fall. Eine Aktualisierung ist für das nächste Jahr geplant.
Aussagen der Fachbereiche haben ergeben, dass zwar seit fünf Jahren der Verschlüsselungsstandard TLS 1.2 auf dem Mark ist, aber dass viele Browser und auch Webserver diesen Standard noch nicht unterstützten.
Anbei auch nochmal eine Meldung vom Juli 2013, bez. TLS 1.2 und Browsersupport.
http://www.golem.de/news/tls-1-2-bald-bessere-verschluesselung-fuer-firefox-und-chrome-1307-100370.html
Freundliche Grüße
GAD eG
Prinzipiell verständlich, auch wenn die Aussage, dass der Standard noch nicht unterstützt würde inzwischen großteils überholt ist – zudem ist das System abwärtskompatibel. Wie auch immer: Das Thema scheint beim Dienstleister der Bank bereits bekannt zu sein und der Zeitplan ist für diese Branche bei nicht direkt angreifbaren Sicherheitsupdates relativ zügig – imo angemessene Reaktion, schade, dass man häufig lediglich auf Schweigen oder themenfremde Textblöcke trifft.
Fotos der Rathauserstürmug #Saffig
Die Fotos der Rathauserstürmung vom 16.11.2013 sind jetzt auf 56648.de zu finden.
Unterwegs in neuen Währungsgebieten
OK, zugegeben, das Ganze ist schon fast wieder „Out“, aber ich hab trotzdem mal meine *coin-Börsen reaktiviert. Vorerst wäre ich somit für Bitcoin unter „1Ht9MqscVERB2X7a2tkYywbG1isY5CkCdE“ und für LiteCoin unter „LMfNwkAxCDrtW5JagCiczPiGp2LEFrotkv“ erreichbar – mal schauen, ob ichs irgendwann auch mal praktisch einsetzen kann…
Symantec Backup Exec (RALUS) auf Arch Linux
Symantec hat für ihr Produkt „Backup Exec“ auch einen Agenten im Angebot, welcher die Sicherung von Linux- und Unix-Systemen ermöglichen soll. Dieser so genannte „Remote Agent for Linux and Unix Servers“ aka RALUS hat leider eine sehr eingeschränkte Kompatibilitätsliste. Zwar gibt es im Netz einige Anleitungen für Debian, für Arch wurde ich aber nicht fündig. Nach ein paar Versuchen war mir die Herkunft der Paketbeschreibung eines Repos für CENTOS auch klar:
It is a crappy tool and you should seriously consider not using it.
Nicht nur, dass die Installationsdaten lediglich versteckt als deb und rpm vorliegen: Teile der Config werden über ein Wirrwarr an Perl-Scripten generiert und bei der Nutzung mit Kerneln >=3 muss man am Kernel oder im Binärcode herumpatchen. Great!
Nungut, inzwischen läuft der Daemon, ein passender PKGBUILD für die mir vorliegende Version (14.0.1798-0, 64 Bit) ist auf Github zu finden. Mit drin ist der Binärpatch für Kompatibilität mit Kernel 3.x sowie etwas Rechtefoo. Da das Ganze mehr eine Vorlage als funktionsfähiges PKGBUILD darstellt wandert’s erst mal nicht ins AUR.
E-Mail made in Germany?
Da gerade auf einem meiner alten Accounts Werbung für „E-Mail made in Germany“ aufgeschlagen ist erstelle ich dann hiermit mal meine eigene Zertifizierung:
Verschlüsselung zwischen Server und Endgerät
Alle meine E-Mail werden – wie auch bei „E-Mail made in Germany“ zwischen Server und Endgerät mittels TLS (früher SSL genannt) verschlüsselt. Gegen NSA & Co bringt dies natürlich nichts, da diese sich auf Grund der Zentralen Struktur recht einfach eigene, gültige Zertifikate ausstellen können.
Verschlüsselung zwischen Mailervern
Alle E-Mails werden – wenn von der Gegenseite unterstützt – zwischen den Mailservern verschlüsselt übertragen. Dieses Verfahren ist bereits seit Jahren im Einsatz, ist jedoch ebenfalls für Manipulationen auf Infrastrukturebene anfällig. Bei E-Mail-Provider wie z.B. GMX oder T-Online, welche dieses 1999 spezifizierte Sicherheitsverfahren nicht vollständig unterstützen[1], muss die E-Mail auf dieser Strecke unverschlüsselt übertragen werden.
Sichere Rechenzentren
Alle Server stehen in Rechenzentren, welche über eine Zutrittskontrolle verfügen. Da Angriffe üblicherweise über das Internet erfolgen bzw. Behörden mit richterlichem Beschluss hereingelassen werden müssen hat dies auf die Sicherheits allerdings keine Wirkliche Auswirkung.
Datenspeicherung in Europa
Leider befinden sich nicht alle meine Server in Deutschland, jedoch ist Frankreich beim Thema Datenschutz etwa auf deutschem Niveau. Btw: Meine E-Mails werden fast ausschließlich in Deutschland geschrieben, sind also dennoch „made in germany“ 😉
…und ich lege noch drei Punkte oben drauf:
Keine Speicherung bei Cloud-Diensten
Die Daten werden nicht auf den Speicherdiensten von Cloud-Speichern oder CDNs abgelegt, entsprechend ist zumindest grob bekannt an welcher Stelle die Daten liegen.
Die E-Mail nimmt den kürzesten Weg
Daten werden – sofern möglich – auf dem kürzesten Weg übermittelt und nehmen keinen Umweg über Staaten der „Five Eyes“. [2]
Die Mail kommt verschlüsselt!
Jeder, der GPG nutzt und mir seinen öffentlichen Key bereitstellt erhält meine Kommunikation grundsätzlich in Verschlüsselter form – so lässt sich der Mailtext zwischendurch nicht mitlesen oder Manipulieren.
[1] Beim Test am 26.10.2013 wurden eingehende Mails ohne TLS angeliefert
[2] Alle Rechenzentren sind über DeCix verbunden, Traceroutes zu diversen Testsystemen in Deutschland zeigen – im Gegensatz zum Verhalten einiger anderer Provider – keine Umwege über den Ozean.
Abhören ist mir doch egal – moment, ich auch? #merkelphone
Seit im Juni die ersten Details über Prism, Tempora & Co durchsickerten hüllt sich die Regierung Merkel in Schweigen. Datenschutz war nie ein wirkliches Kernthema der CDU, zudem sind viele der Amerikanischen und Britischen Aktionen in – etwas weniger entwickelter Form – auch in den Forderungen der deutschen Sicherheitsbehörden zu finden: Wir brauchen alle Daten. Vorratsdaten, Videoüberwachung, Banktransaktionen, etc. Die Sicherheit ist ein Supergrundrecht, egal was dafür auf der Strecke bleibt.
Das die Organistaionen der Five Eyes auch auf deutschem Gebiet operieren ist dabei nichts neues – Gesetze aus der Besatzungszeit erlaubten dies explizit und Standorte wie der Berliner Teufelsberg, Bad Aibling oder der Neubau in Wiesbaden werden trotz dichter Hinweise auf Spionage gegen Deutsche Interessen weiterhin geduldet. Weiter noch: Immer wieder finden sich in Unterlagen Hinweise, dass auch deutsch Behörden die Spionageinstrumente selbst nutzten, Daten lieferten oder bei deren Entwicklung eine Rolle spielten.
Statt sich um die nun langsam wach werdenden Zweifel der Bürger zu kümmern werden Whistleblower und Journalisten angegriffen, die Affäre trotz immer neuer Enthüllungen für beendet erklärt – schließlich versichert man, dass alle Aktionen Gesetzmäßig seien.
Letztendlich doch Aufregung – Merkels Handy wäre abgehört worden. Überraschung! Naja, nicht ganz. Es wurde „alles abgehört“ – warum sollte Merkel eine Ausnahme sein? Schon vor Monaten gab es Hinweise, dass G20-Gipfel oder die UN auf der Zielliste standen. Angesichts der Tatsache, dass das Abhören von 80 Millionen Bürgern offenbar geduldet wird, aber ein Handy nun eine solche Welle macht, bleibt irgendwie nur noch Sarkasmus übrig – eine politische Lösung ist angesichts des „Wählerwillens“ kaum in Sicht.