Passkeys, viele Anbieter machen es falsch

IT
Comments

Nach und nach, seit­dem Bit­war­den Pass­keys kann¹, spen­die­re ich mei­nen Accounts Pass­keys. Zwar füh­le ich mich recht sicher, jeder Account hat ein ande­res zufäl­li­ges Paß­wort und wo es geht, also fak­tisch über­all, habe ich 2FA via TOTP.
Aber Pass­keys sind wirk­lich char­mant und bequem.
Nur: Um wirk­lich sicher zu sein, muß natür­lich der Pass­key das Paß­wort erset­zen, sprich, eine Anmel­dung via Paß­wort muß unmög­lich sein. Denn wenn das geklau­te Paß­wort ver­wen­det wer­den kann, sind Pass­keys witz­los. Als wäre die Voder­tür best­mög­lich ver­ram­melt, die Hin­ter­tür aber aus Pappe.
Bei mir kann es nur WordPress:


Bei allen ande­ren Diens­ten funk­tio­niert die Anmal­dung mit Paß­wort wei­ter­hin und kann auch nicht deak­ti­viert wer­den. Das ent­wer­tet die Pass­keys, die sind dann prak­tisch nutzlos.

Hof­fent­lich ändert sich das noch.

¹ Bitwarden für IOS leider (noch) nicht.

DNS-Schmerzen

IT
Comments

Wer kennt es nicht:

Ich habe die Domain example.com.
Mar­ke­ting will die Domain fancy.example.com bei einer Agen­tur hos­ten, weil Mar­ke­ting das eben kann.
Die Agen­tur ist natür­lich auch nur Kun­de bei einem der gro­ßen Cloud-Anbie­ter, und der möch­te für fixe IP-Adres­sen mehr Geld als für nicht-fixe haben. Die Agen­tur umgeht das, indem sie uns bit­tet, fancy.example.com mit einem CNAME auf irgend­was beim Cloud-Anbie­ter zu ver­se­hen. Ist halt billiger.
Für example.com habe ich einen CAA-Record im DNS, in dem die CA, die die Agen­tur ver­wen­det, nicht ent­hal­ten ist. Jetzt könn­te ich natür­lich die­se CA in mei­nen CAA auf­neh­men, aber dann hät­te die­se CA das Recht, für alles in example.com Zer­ti­fi­ka­te aus­zu­stel­len. Nein, das will ich nicht.
Also soll die Agen­tur-CA nicht an example.com geta­ckert wer­den, son­dern an fancy.example.com. In bind etwa so:

fancy.example.com. CNAME host.bei.cloud-anbieter.
                   CAA 0 issue "pki.goog"

Das geht aber nicht, bind beschwert sich: “CNAME and other data”. Zu Recht, der RfC ver­bie­tet das: Wenn CNAME, dann kein CAA. Nun ist guter Rat teuer.
Doch dafür gibt es seit Novem­ber 2023 einen RfC, der den HTTPS-Record ein­führt. Im bind steht dann:

fancy.example.com. HTTPS   0       host.bei.cloud-anbieter.
                   CAA 0 issue "pki.goog"

Das funk­tio­niert dann, lei­der schein­bar nur in der Apple-Welt. Safa­ri hat kei­ne Pro­ble­me, Chro­me und Mac fin­den fancy.example.com genau­so­we­nig wie curl.

Scha­de!

Prozesse/Threads unter Linux, top

IT
Comments

Fra­ge:

Ich habe ein ffmpeg ange­wor­fen, da ich 10 CPUs habe, mit der Opti­on --threads 10. Wenn ich mir in top mei­ne Pro­zes­se anse­he, sieht das erst­mal so aus:

Die Maschi­ne ist gut aus­ge­las­tet, so soll es sein.
Sehe ich mir die ein­zel­nen CPUs an, so schei­nen die zu ideln:

Las­se ich mir aber die Threads anzei­gen, so ändert sich das Bild:

Wäh­rend im obe­ren Teil bei den CPUs die­se sich immer­noch zu lang­wei­len schei­nen, ist unten in der Thread-Ansicht mehr los: Jeder Thread nimmt fast 100%, was erwar­tet wird.
Fragen:

  • War­um unter­schei­den sich die CPU-Wer­te oben und unten?
  • Was machen all die ffmpeg-Threads, die nichts machen?

CDF in HH besucht

Krimskrams
Comments

Heu­te waren wir in der Ham­bur­ger Kunst­hal­le zur Cas­par-David-Fried­rich Aus­stel­lung. Kar­ten hat­ten wir vor­her im Inter­net gekauft, sie gal­ten für ein Fens­ter zwi­schen 13 und 16 Uhr. Fens­ter heißt hier: in die­ser Zeit muß­ten wir die Aus­stel­lung betreten.
Das hat auch gut geklappt, doch schon an der Gar­de­ro­be beschlich uns ein ungu­tes Gefühl, denn es war rappelvoll.
Das bestä­tig­te sich dann schon beim Ein­lass, der Ange­stell­te kom­pli­men­tier­te uns sehr nach­drück­lich in den drit­ten Teil der Aus­stel­lung, weil der ers­te sehr voll sei.
Also began­nen wir im drit­ten Teil; das war aber sehr unglück­lich, denn die­ser Teil beschäf­tigt sich mit Fried­richs Nach­wir­ken bis heu­te, sprich: Es geht dort um moder­ne Kunst mit Bezug zu Fried­rich. Des­we­gen waren wir aber nicht nach HH gefah­ren, und auch logisch ist das wenig sinnvoll.
Wir haben uns dann doch in den ers­ten Teil geschmug­gelt, und ja: es war unan­ge­nehm voll.

Ich erin­ne­re mich, als die Gat­tin und ich vor 20 Jah­ren die Moma-Aus­stel­lung in Ber­lin besuch­ten, da war das anders: Es wur­den immer nur so vie­le Men­schen ein­ge­las­sen, daß jeder Besu­cher genug Raum hat­te, die Wer­ke zu betrach­ten. Der Preis: In mei­ner Erin­ne­rung stan­den wir 6, sicher­lich wenigs­tens 4 Stun­den in der Warteschlange.
Hat­te sich gelohnt.

Die Kunst­hal­le ist einen ande­ren Weg gegan­gen, dafür gibt es gute Grün­de, aber lei­der führ­te das zu einem nicht so schö­nen Erleb­nis. Wir konn­ten die High­lights kaum genie­ßen, wegen der vie­len ande­ren Besucher.
Auch: Schein­bar hat­ten die Macher den Anspruch, mög­lichst viel Fried­rich (und zeit­ge­nös­si­sche Maler­kol­le­gen) zu zei­gen, was zur Fol­ge hat­te, daß auch wirk­lich vie­le Expo­na­te (zum Bei­spiel die frü­hen Zeich­nun­gen) sicher­lich für Kunst­his­to­ri­ker und viel­leicht Fried­rich-For­scher von Inter­es­se sind, nicht aber fürs gemei­ne Publi­kum. Das führt dann bei der begrenz­ten Aus­stel­lungs­flä­che zu viel zu dich­ten Hän­gun­gen. Die Stü­cke kön­nen nicht “atmen”.
Als ärger­lich emp­fand ich auch, daß die Aus­stel­lung eher einem Laby­rinth gleicht, man kann sich tat­säch­lich ver­ir­ren, noch dazu, wo die Wer­ke sich über drei Ebe­nen erstre­cken. Ich bin immer wie­der an Stü­cken vor­bei­ge­kom­men, die ich schon besucht hatte.

Mein Fazit. Am meis­ten haben mir sei­ne Minia­tu­ren, klei­ne Gemäl­de von viel­leicht 30 mal 20 Zen­ti­me­tern, gefal­len, die unglaub­lich fein gemalt sind, die Pin­sel kön­nen nur aus weni­gen Haa­ren bestan­den haben. Phantastisch!
Schön, daß wir da waren, lei­der war der Genuß aus den Grün­den dann doch nicht so groß wie erhofft.

Besuchs­emp­fehlu­ung? Die Ant­wort ist ein­fach: Nein, denn es gibt kei­ne Kar­ten mehr. Mög­li­cher­wei­se kann man an der Kas­se noch Rück­läu­fer ergattern.

Aber: Es ist nicht die ein­zi­ge Fried­rich-Aus­stel­lung die­ses Jahr, viel­leicht fin­det ihr ja eine klei­ne­re, aber feinere.

Der Trockner will nicht

IT, Sophia
Comments

Die Gat­tin will trock­nen, die App ver­bin­det sich aber nicht mit dem Trock­ner (ja, man könn­te das Gerät auch mit der Hand bedie­nen, aber wir alten Leut­chen sind schließ­lich modern!)
Reboot tut immer gut.
Aber nicht in die­sem Falle.
Ping auf trockner.sokoll (selbst­ver­ständ­lich habe ich eine eige­ne TLD) funk­tio­niert, Netz ist also da. Strom gezo­gen und drau­ßen gelas­sen. Ping funk­tio­niert immmer noch. Hä???
Dann muß es ja wohl ein ande­res Gerät sein, aber welches?

Die /etc/dhcp/dhcpd.conf:

[…]
    host trockner {
      option host-name "trockner";
      hardware ethernet 34:86:5d:a0:71:84;
      fixed-address 192.168.1.57;
    }
[…]
    host sophia-tp {
      option host-name "sophia-tp";
      hardware ethernet 4:ea:56:78:ac:b2;
      fixed-address 192.168.1.57;
    }
[…]

Bamm! Die 192.168.1.57 ist dop­pelt ver­ge­ben, und da die Toch­ter ihren Lap­top auf­ge­klappt hat­te nach der Schu­le, die Gat­tin den Trock­ner aber erst danach ein­ge­schal­tet hat, stand der Trock­ner ver­zwei­felt ohne IP da. Und ohne IP nimmt er kei­ne Befeh­le ent­ge­gen, weder von uns noch vom Chinamann.

Ich muß bei Gele­gen­heit mal mit dem Admin reden.

Hals habe ich, vielen, dicken Hals

Krimskrams
Comments

Da ste­he ich in der Küche, befül­le den Geschirr­spü­ler und möch­te, daß er mor­gen gegen 7 Uhr fer­tig ist. Dafür muß ich

  • nach­se­hen, wie lan­ge das gewünsch­te Pro­gramm wahr­schein­lich lau­fen wird (3:20)
  • von 7 Uhr 3:20 zurück­rech­nen, um die Start­zeit zu ermit­teln (3:40 Uhr)
  • von jetzt (20:40) rech­nen, wie­vie­le Stun­den es bis 3:40 Uhr sind (7 Stunden)
  • und trom­mel­wir­bel 7 Stun­den als Start­ver­zö­ge­rung einstellen

Wir haben vor etwa 25 Jah­ren eine Wasch­ma­schi­ne gekauft, bei der konn­te man die End­zeit ein­stel­len. Das war schon damals kein Luxus, es war eine etwas bes­se­re Siemens.
Selbst der teu­re Mie­le-Spü­ler kann das heu­te noch nicht, ein Vier­tel­jahr­hun­dert spä­ter; viel­leicht gibt es Chi­na­wa­re, die das mitt­ler­wei­le kann, made in Ger­ma­ny schein­bar nicht.
Und da mur­meln die Klein­künst­ler der Markt­wirt­schaft immer was von Ange­bot und Nach­fra­ge, und der Markt regelt das schon.
Einen Scheiß regelt der Markt!

Meine erste Demo seit langem

Greifswald, Kinder, Politik
Comments

war heu­te. Die davor, ich bin mir sehr sicher, war am 1. Mail 1989, vor­bei­de­fi­lie­rend an den Jenen­ser Par­tei­grö­ßen auf der Tribüne.
Heu­te war also in Greifs­wald eine Demo gegen Rechts­ra­di­ka­lis­mus und nament­lich die AfD ange­setzt — und ich hal­te es für eine patrio­ti­sche Pflicht, gegen Rechts­ra­di­ka­lis­mus und nament­lich die AfD nicht nur zu sein, son­dern auch wenigs­tens ab und an zu pas­sen­der Gele­gen­heit zu demons­trie­ren — und heu­te war so eine Gele­gen­heit, noch dazu, wo der Sohn ganz selbst­ver­ständ­lich mein­te, daß er dabei sein wür­de. Was tut man nicht alles, um als coo­ler Papa zu erscheinen.
Also schwan­gen wir uns auf die Räder und fuh­ren zum Markt. Da waren schon vie­le Leu­te, und schnell ver­lor ich den Sohn und sei­ne Kum­pels aus den Augen und blieb für mich.


Dann gings auch schon los mit den Reden, der OB sprach kurz und gut, danach kam eine end­los schei­nen­de Abfol­ge von Rednern/innen, und das war teils gro­tesk. Ja, die Ver­an­stal­ter tra­ten als Bünd­nis auf. Und zu dem Bünd­nis gehö­ren dann neben Par­tei­en und Gewerk­schaf­ten eben auch die anti­fa­schis­ti­schen Frutarier:Innen, die quee­ren Bibliothekar:Innen usw. und natür­lich auch die Ver­ei­nig­te Volks­front. Und sie alle wur­den ihre Gruß­wor­te los.
Unan­ge­nehm absurd wur­de dann eine jun­ge Fau:in, die Pas­tor Niem­öl­ler zitierte:

Als die Nazis die Kommunist:Innen hol­ten, habe ich geschwie­gen; ich war ja kein Kommunist.
Als sie die Gewerkschafter:Innen hol­ten, habe ich geschwie­gen, ich war ja kein Gewerkschaftler.
[…]

Doch, wirk­lich!
Man kann sich natür­lich fra­gen, was so eine Ver­an­stal­tung soll, die Teil­neh­mer sind sicher­lich nicht zum Dis­ku­tie­ren gekom­men, es gibt zum The­ma der Demo kei­nen Dis­kus­si­ons­be­darf unter den Teilnehmern.
Und doch: Da war die Jugend (der Sohn hat mit sei­nen Kum­pels und ein paar hun­dert ande­ren die Gegen­de­mo der Leer­den­ker nie­der­ge­brüll­t¹) und auch vie­le Sil­ber­haa­re wie ich. Das ist dann schon schön.

Aber: Ich wer­de gewiß kein Pro­fi-Demons­trant wer­den. Doch wenn es sein muß, bin ich bei aller Grum­pig­keit dabei. Denn Nazis, Schwurb­ler, Rechts­ra­di­ka­le muß man äch­ten als Gesell­schaft. Das ist, ich sag­te es, eine patrio­ti­sche Bürgerpflicht.

¹ https://nitter.net/ole_kracht/status/1749500506219643177#m

 

 

Suche im Browser, Javascript

IT
Comments

In mei­nem Vault­wa­ren habe ich eine Notiz (borg­back­up pass­phra­ses), und ich weiß, daß die­se Notiz Anhän­ge hat.

Die Suche im Brow­ser fin­det auch den String “anhäng” — zeigt aber 0/1 Tref­fer an:

Also irgend­wo ist der String, aber wo?
Hier:

War­um es jetzt 2 Tref­fer gibt, weiß ich auch nicht.
Das ist doch Mist. Wenn ich suche und es Ergeb­nis­se gibt, die­se aber nicht ange­zeigt wer­den, dann ist das Mist.

Hät­te ich einen Tre­cker, wür­de ich viel­leicht demonstrieren 😉

 

 

Securitytheater

IT
Comments

Bei IPv6 mit pri­va­cy exten­si­ons geht es rich­tig los 🙂
Natür­lich kommt jedes Log­in von einer neu­en Adres­se, das ist ja der Sinn der pri­va­cy extensions.


Wer weiß, wie man das bei Vault­war­den abstel­len kann, schreibt es bit­te unten👇 in die Kommentare 😉

Schlagwörter: