Unternehmen ohne git1 Repositories auf eigenen Servern haben keine Zukunft. Für mich ist das die zentrale Heuristik, ob ein Konzept wie “Infrastructure as Code” verstanden und gelebt wird. Fehlt dieses, sind alle Digitalisierungs- und Industrie 4.0 Projekte2 zum Scheitern verurteilt. Leider bezeichnend und für sich selbst sprechend: In der deutschsprachigen Wikipedia existiert kein Eintrag zu “Infrastructure as Code”.3 Daher ist es mir eine Ehre, git Workflows für ein mittelständisches Unternehmen auszuarbeiten und auszurollen. Nicht nur für die IT sondern ganz besonders für die werkseigenen Techniker und Ingenieure, die Anlagensteuerungen in den diversen Tools programmieren. Read more

Viele PoCs erscheinen als simple Textdatei mit Verweisen auf Unternehmenswebsites oder Blogs. Der Reverse-Engineer Axel Souchet veröffentlicht seine PoCs auf einer mir sehr angenehmen und besseren Art: Als Git-Repository. Hier seine jüngste Veröffentlichung zum CVE-2021-28476 von vor wenigen Stunden, wie per RCE ein Gast einer HyperV-Umgebung ausbrechen kann1. Der weitere Verlauf einer Veröffentlichung ist nicht minder spannend, will etwas gelernt und auch verstanden werden. Und Rückfragen oder Ergänzungen gibt es fast immer zu etwas. Exemplarisch im Screenshot die Commits eines älteren PoC zum CVE-2019-9810 aus dem letzten Jahr2. Read more

Die eigene gitea Instanz - Teil VI Schon was länger auf meiner To-Do-Liste war die Integration von Mermaid in meiner Gitea-Instanz. Wer Mermaid nicht kennt: Das ist eine Markdown-Erweiterung zum schnellen Zeichnen von UML-Ablaufplänen, Diagrammen und sogar Gantt-Plänen. Warum ausgerechnet Mermaid? Weil es komplett im Client abläuft ohne zusätzliche Serverdienste und der Syntax einfach und zugleich mächtig ist. Einmal implementiert sieht das Ganze so aus: Keine Drittanbieter Leider ist der dokumentierte Standardweg alles andere als datenschutzfreundlich. Die Mermaid-Pakete sollen über den Drittanbieter unpkg zum Browser gelangen. Wie im letzten Teil beschrieben habe ich genau das mit einer CSP ausgeschlossen. Read more

Die eigene gitea Instanz - Teil V So weiter gehts in Sachen gitea: Hier die CSP in der vhost Config des Apache Reverse hinterlegt: Header add Content-Security-Policy "default-src 'self' 'unsafe-eval' 'unsafe-inline' data: 'self' *.domain.de; worker-src 'self' *.domain.de; frame-ancestors 'self' *.domain.de; img-src 'self' data: 'self' *.domain.de; object-src 'self'; style-src 'self' 'unsafe-inline' *.domain.de" Ja mir ist bewusst, daß mit eval und inline zwei sehr mächtige Funktionen erlaubt sind. Diese werden aber auch für einige Bereiche und Funktionen (z.B. die Heatmaps unter Aktivitäten) benötigt. Wer einen nginx hat möge sich diese CSP bitte anpassen. Selbstverständlich ist domain.de nur ein Platzhalter für die eigene Domain. Read more

Die eigene gitea Instanz - Teil III Einen schönen guten Morgen, wie kann man datensparsam github nutzen? Indem man mit einem Mirror in gitea arbeitet. Die einzigen Verhaltensdaten, die Github so mitbekommt sind die von meinem Server, der in einstellbaren Intervallen (z.B. alle 24h) immer zu einer festen Uhrzeit alles synct. So bleiben Arbeitsgewohnheiten, Arbeits- und Urlaubszeiten, welche Software ich nutze, von welchen IP ich arbeite, mit wen ich mich austausche - diese ganzen Informationen verbleiben bei mir. Read more

Die eigene gitea Instanz - Teil IV Sowas findet man nur, wenn man ausgiebig testet. Im aktuellen Build von gitea befindet sich in den Wiki Templates ein Bug: template: repo/wiki/view:48:14: executing "repo/wiki/view" at <(not $.DisableHTTP) (and (not $.DisableSSH) (or $.IsSigned $.ExposeAnonSSH))>: can't give argument to non-function not $.DisableHTTP Ursache ist eine falsch gesetzte Klammer im besagten Template File. Abhilfe schafft ein manuelles Patchen der entsprechende Zeile da noch nicht im aktuellen Release. Read more

Die eigene gitea Instanz - Teil II Letztes Wochenende habe ich Zeit gefunden weiter an der Instanz zu arbeiten. Zunächst die guten Nachrichten: Die harte Restriktion, keine Fremdanmeldung zuzulassen, habe ich aufgehoben und ermögliche nun jedem die Registrierung. Selbstverständlich erst nach einer Email Bestätigung, mit REGISTER_EMAIL_CONFIRM gesetzt. Das ist der Bestimmungszweck der Instanz. Eigene Repos für Benutzer habe ich jedoch mit MAX_CREATION_LIMIT unterbunden. Und auch die öffentliche Ansicht auf Repos und Aktivitäten wird mit REQUIRE_SIGNIN_VIEW auf angemeldete Benutzer beschränkt. Read more

Eine neue Blogserie in sechs Teilen - Teil I aliases: /blog/gitea-uml-mermaid/ An Microsoft GitHub scheiden sich bekanntlich die Geister. Ausgerechnet viele große und bekannte Open-Source Projekte, die Datenschutz und Privatsphäre propagieren, nutzen diese Plattform, wo Verhaltensdaten der Entwickler an zentraler Stelle gesammelt und von Microsoft weiterverwendet werden. So lassen sich wunderbar Rückschlüsse auf Arbeitszeiten, Arbeitsweisen, die eingesetzten Tools und Technik, laufende Projekte, Side- oder Hobby-Projekte und anhand der IP Adressen sogar Kunden, Arbeitskollegen, Urlaubszeiten oder Reisen ermitteln. Read more