Kategorie: IT

Vertrauen ist gut

doch Kon­trol­le ist bes­ser, jeden­falls hat das Lenin angeb­lich mal gesagt.

rollingstone.com ist um mei­ne Pri­vat­sphä­re bemüht und bie­tet mir an, mich mit einem Klick aus­zuop­ten (schö­nes Wort 😁)

Selbst­ver­ständ­lich habe ich auf “Deny all” geklickt.
Schnell noch mal nach­se­hen, ob das geklappt hat:

Dan­ke, Lenin!

0

Roomba-Paßwort herausbekommen

für Home­As­si­stant, Anlei­tung nach https://github.com/koalazak/dorita980#how-to-get-your-usernameblid-and-password:
docker run -it node sh -c "npm install -g dorita980 && get-roomba-password 192.168.1.93"
Und hin­ter­her mal nach­se­hen, was wir so an Daten gela­den haben dafür:

~$ docker images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
node                latest              7354979df4ec        10 days ago         939MB
~$

Ein knap­pes Giga­byte! Um ein Paß­wort via API her­aus­zu­be­kom­men!!!

0

tvOS 13 und Home Assistant

Unse­re gute alte Wii ist mitt­ler­wei­le doch in die Jah­re gekom­men, und die Klei­nen möch­ten mal was neu­es spie­len. Also haben wir Eltern uns umge­se­hen — Apple Arca­de scheint uns anspre­chend zu sein. Kei­ne Wer­bung, kei­ne In-App-Käu­fe. Aller­dings läuft das nicht auf unse­rem App­leTV der drit­ten Genera­ti­on — ein neu­es muß­te also her und der Weih­nachts­mann brach­te eins. Ange­stöp­selt — geht.
Nun hat­te ich für das alte ein paar Auto­ma­ti­sie­run­gen in HA ein­ge­baut — z.B. einen Kino-Effekt: Film geht an, Licht wird aus­ge­schal­tet bzw. gedimmt. Tot­schick!

Jedoch: HA fin­det das neue App­leTV nicht mehr 🙁 Stellt sich raus: Sie haben bei tvOS grö­ße­re Ände­run­gen an der API vor­ge­nom­men, sie­he hier und hier und hier. Immer­hin: es arbei­tet jemand dran, hof­fent­lich wird das direkt in HA über­nom­men wer­den in Bäl­de.

Momen­ta­ne Situa­ti­on in mei­nem HA: Ich sehe, daß und was das App­leTV spielt, an wel­cher Stel­le es ist (Fort­schritts­bal­ken). Ich sehe kein Cover und die Auto­ma­ti­sie­run­gen gehen auch nicht, das ist das ärger­lichs­te.

Mein feuch­ter Traum: Her­stel­ler stel­len eine Mög­lich­keit zur Ver­fü­gung, bei der Pro­gram­mie­rer sich früh­zei­tig Infor­ma­tio­nen über API-Ände­run­gen besor­gen kön­nen. Aller­dings ist Apple da nicht gera­de die Fir­ma, von der man sowas zuerst erwar­ten wür­de…

0

Office 365 an Schulen datenschutzkonform?

TL;DR:

MSO 365 ist an hes­si­schen Schu­len nicht ver­bo­ten.

In mei­ner Fil­ter­bla­se wird immer wie­der tri­um­phie­rend dar­auf ver­wie­sen, daß der hes­si­sche Daten­schutz­be­auf­trag­te den Ein­satz von MSO 365 an Schu­len ver­bo­ten hät­te, mit Ver­weis meis­tens auf einen ent­spre­chen­de Arti­kel bei Hei­se.

Micro­soft Office 365 darf in der Stan­dard­kon­fi­gu­ra­ti­on an Schu­len wegen Pro­ble­men für die Pri­vat­sphä­re der Nut­zer der­zeit nicht ver­wen­det wer­den.

So weit, so ein­deu­tig. Die Ori­gi­nal­quel­le ver­linkt soweit ich sehe kaum jemand. Ich war­te sowie­so nur noch drauf, daß jemand einen Screen­shot des ent­spre­chen­den Hei­se-Tweets pos­tet. Also den Link zu dem Screen­shot, der in einem Face­book-Post zu fin­den ist.

Nun habe ich mich gefragt: wenn die Sache so klar ist, war­um hört man nicht davon, daß (min­des­tens die hes­si­schen) Schu­len rei­hen­wei­se Pro­ble­me mit ihren Daten­schüt­zern bekom­men?
Stellt sich raus: es gibt eine zwei­te Stel­lung­nah­me des­sel­ben Daten­schüt­zers:

Der Hes­si­sche Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit hat sich nach den Gesprä­chen mit Micro­soft dazu ent­schlos­sen, den Ein­satz von Office 365 in hes­si­schen Schu­len unter bestimm­ten Vor­aus­set­zun­gen und dem Vor­be­halt wei­te­rer Prü­fun­gen vor­läu­fig zu dul­den.

Na sowas! Da ist Mann um eini­ges zurück­ge­ru­dert offen­sicht­lich. Und schiebt den Schwar­zen Peter den Schu­len zu:

Die Schu­len müs­sen vor­läu­fig die Über­mitt­lung jed­we­der Art von Dia­gno­se­da­ten unter­bin­den.

Viel Spaß dabei den Schul-“Admins”

Die­se zwei­te Stel­lung­nah­me, die wohl aktu­el­ler Stand ist, wird kom­plett igno­riert. Nur: es reicht für eine seriö­se Dis­kus­si­on nicht, eine Hei­se-Schlag­zei­le gele­sen zu haben. Nicht ein­mal wenn Dut­zen­de Bud­dies die­sel­be Schlag­zei­le pos­ten.

Und nur damit ich nicht miß­ver­stan­den wer­de: MS gehört selbst­ver­ständ­lich nicht an die Schu­le, auch nicht in einer daten­schutz­kon­for­men und viel­leicht sogar noch tat­säch­lich kos­ten­lo­sen Vari­an­te.

Das ist aber eine ande­re Dis­kus­si­on.

0

Roomba: geplante Software-Obsoleszenz?

Im Log mei­nes Home Assi­stant taucht sowas auf, end­los:

2019-12-24 07:17:58 ERROR (Thread-2) [roomba.roomba] Error: [SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:1056)
2019-12-24 07:18:02 ERROR (Thread-2) [roomba.roomba] Error: [SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:1056)
2019-12-24 07:18:08 ERROR (Thread-2) [roomba.roomba] Error: [SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:1056)
2019-12-24 07:18:11 ERROR (Thread-2) [roomba.roomba] Error: [SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:1056)
2019-12-24 07:18:13 ERROR (Thread-2) [roomba.roomba] Error: [SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:1056)
2019-12-24 07:18:16 ERROR (Thread-2) [roomba.roomba] Error: [SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:1056)

Ein tcp­dump zeig­te, daß Home Assi­stant und der Staub­sauger mit­ein­an­der mqtts spre­chen — also immer­hin SSL ver­wen­den, schein­bar mit einem kur­zen (1024 Bits? Sieht man das im TLS-Hand­shake?) DH-Key. Fin­de ich jetzt nicht dra­ma­tisch, wenn die Gat­tin den Traf­fic zwi­schen dem Raspi und dem Staub­sauger knackt…
Nur: was mache ich nach dem 21. Dezem­ber 2028?

~$ openssl s_client -connect 192.168.1.93:8883 </dev/null 2>/dev/null | openssl x509 -text -noout
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 3596268874817615816 (0x31e8837ce04c37c8)
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = US, ST = MA, L = Bedford, O = iRobot, OU = HBU, CN = Roomba CA
        Validity
            Not Before: Dec 21 05:42:19 2018 GMT
            Not After : Dec 21 05:42:19 2028 GMT
        Subject: C = US, O = iRobot, L = Bedford, ST = MA, CN = Roomba-69B8860C70539630
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)

😉

0

Was LaTeX/Metafont mit den Nazis zu tun hat.

Vor Jah­ren (Jahr­zehn­ten?) such­te ich für LaTeX eine Frak­tur­schrift (als Initia­le) und hat­te kei­ne Ahnung. Bei den Recher­chen — das war sicher prä-Goog­le — stieß ich auf die­ses PDF. Ich hat­te eigent­lich nach Instal­la­ti­ons- und Benut­zungs­an­wei­sun­gen gesucht — und bekam eine ein­präg­sa­me Geschich­te der deut­schen Frak­tur. Von einem Grie­chen aus Frank­reich. Der sowas unsterb­li­ches schreibt:

Thanks to D. E. Knuth’s work, typeset­ting beco­mes an inter­pre­ta­ti­ve art wit­hin the reach of ever­yo­ne. You can belie­ve me, it is the same plea­su­re to read (esp. typeset) Goethe’s poems in Breitkopf’s Frak­tur as to hear (esp. play) Mozart’s Sona­tas on a Stein’s Pia­no­for­te.

Und ich hat­te doch nur nach einem README gesucht…

Jeden­falls lern­te ich in die­sem Text. daß Frak­tur anfäng­lich von den Nazis als “alt­deut­sche Schrift” ver­wen­det wur­de, aber schon 1941 wie­der abge­schafft wur­de.

Also falls ihr mal einem stol­zen Toit­schen mit Fak­tur auf dem T‑Shirt begeg­net, drückt ihm ein­fach “Typeset­ting Old Ger­man: Frak­tur, Schwa­ba­cher, Gotisch and Initi­als” von Yan­nis Har­al­am­bous in die Hand…

0

DMARC beim BSI

hm, der Über­tö­ter Emo­tet ist ja wie­der angeb­lich ganz fürch­ter­lich unter­wegs, angeb­lich mit Absen­dern aus $BUNDESBEHÖRDE.

Was macht denn das BSI gegen Fäl­schun­gen?

SPF kön­nen sie:

~$ host -t txt bsi.bund.de.
bsi.bund.de descriptive text "v=spf1 mx ip4:77.87.228.72/29 ip4:77.87.224.104/29 ip4:217.6.125.154 ip4:194.95.66.8 ip4:77.87.229.56 ip4:93.190.68.25 -all"
~$

DMARC?

~$ host -t txt _dmarc.bsi.bund.de.
_dmarc.bsi.bund.de has no TXT record
~$

Äh… Man beach­te: “no TXT record” und nicht etwa NXDOMAIN

~$ host -t any _dmarc.bsi.bund.de.
_dmarc.bsi.bund.de has RRSIG record MX 8 3 900 20191230103401 20191220103401 51858 bund.de. kuoQ+exINaIT5x11aNmdnl+XTXsVSmZ6jzugcM3w89zOP0gjLvnPakPT 8ITeezOESdMuGpXHeCPMZaTLeHgGT5on2e4+1cu6fxV1+qyjurmBw9bx ilRBHSN2wwGytUkGwQ4uJDEfCt3tvPweCx08yBZ6Jk1Faf0EaL0Lm4EA 13E=
_dmarc.bsi.bund.de mail is handled by 10 mx1.bund.de.
_dmarc.bsi.bund.de mail is handled by 10 mx2.bund.de.
~$

Ob man any-Anfra­gen wirk­lich beant­wor­ten möch­te? So im Alter von DNS-reflec­tions? Aber war­um zum Gei­er hat man MX-RRs für _dmarc? Aber eben kei­nen TXT-RR?

Das DNSSEC machts wohl auch nicht bes­ser…

0

Updaten reicht nicht,

man muß auch die Release Notes lesen…
Ich hab’ mal ein nmap --script ssl-enum-ciphers -p 993 mailserver gegen mein dovecot ren­nen las­sen, und, oh: da wird auch TLS1.0 ange­bo­ten!

Wie­so das denn? in 10-ssl.conf steht ein­deu­tig:

ssl_protocols = !SSLv2 !SSLv3 !TLSv1

Ja, und im error-Log des dovecot steht:

config: Error: Could not find a minimum ssl_min_protocol setting from ssl_protocols = !SSLv2 !SSLv3 !TLSv1: Unrecognized protocol 'SSLv2'

Irgend­wann wur­de ssl_protocols durch ssl_min_protocol ersetzt.

Mit

ssl_min_protocol = TLSv1.2

tut es dann auch rich­tig.

Und was mich beson­ders anfrißt: Open­VAS hat an TLS1.0 nichts aus­zu­set­zen gehabt 🙁

0

Ach Mensch Google 😡

In Kodi geht mein You­tube-Account nicht mehr. War­um auch immer.

App im Goog­le-Account (https://myaccount.google.com/permissions) gelöscht und neu ange­legt via google.com/device. Es braucht zwei Durch­läu­fe, der ers­te funk­tio­niert, der zwei­te wird quit­tiert damit:

Und zwar sowohl auf dem Raspi als auch auf dem Mac.

Der Account ist zwar da:

Aber man kann ihn nicht benut­zen, da die Anmel­dung in Kodi eben nicht durch­läuft.

Natür­lich gibt es kei­ner­lei Unter­stüt­zung durch Goog­le. Sieht aus wie ein API Chan­ge? Kodi aktiv raus­ge­wor­fen?

0