Die vergangenen drei Tage fiel ich in das sprichwörtliche Rabbit-Hole als in meinem News-Reader das Wetterradar-Hobbyprojekt von Lars Müller auftauchte. Er hatte es auf der GNU/Linux.ch Website genauer vorgestellt.1 Das Repo liegt leider komplett entgegen der GNU-Philosophie2 auf der Microsoft GitHub-Plattform.3 Aus meiner Sicht ein No-Go für freie Software. Hinzu kommt ein Frontend ohne Rücksicht auf Privacy und ein Node Worker auf dem Server. Sowas macht man nicht. Die Wetterdaten selbst kommen von Open-Meteo4 mit restriktiven Downloadlimits und Nutzungsbeschränkungen. Kann man machen, doch greife ich da lieber direkt zur Quelle, dem Open-Data Server des Deutschen Wetterdienstes (DWD).5 Read more

Ein schon seit vielen Jahren im Einsatz befindliches Bash-Skript habe ich unlängst aufgehübscht und “zum Codeberg” getragen.1 Der HTTP Limiter ist meine Antwort auf die vielen Bots, Scraper und Pentest-Tools, die unablässig gegen die offenen Ports eines Hosts im Internet “klopfen”. Wobei “klopfen” eindeutig Untertreibung ist. Was einst als “Grundrauschen” daher kam, ist immer mehr zum Normalzustand geworden. Mit spürbaren Folgen: Logfiles wachsen schneller und lassen einen blind werden. Die Bearbeitung von sinnlosen Requests verbraucht mehr CPU, RAM und Traffic. Besonders anfällig gegen DDOS2 sind REST-APIs von Unternehmen mit ihren langsamen Datenbankanbindungen, meist in trägen Frameworks und Programmiersprachen programmiert. Read more

Eine Meldung, die mich erst verspätet erreicht. Webbkoll1, ein Privacy-Projekt an dem ich vor vielen Jahren aktiv mitgewirkt habe2 hat ein neues Domizil gefunden. Es wird nicht mehr von Dataskydd sondern von “5th of July” gehostet.3 Wem der Name nichts sagt: Diese schwedische Organisation engagiert sich für Privacy im Internet hat Ihre Wurzeln beim einschlägig bekannten ISP Bahnhof AB.4 Webbkoll ist dort sehr gut aufgehoben. Seit 9 Jahren (Neun?!? Ich fühle mich gerade alt) gibt Webbkoll eine gute Schnellabschätzung einer Website, wie es um die DSGVO-Konformität aussieht. Es gehört auf jeden Fall zu den Bookmarks zur Messung von Qualität einer Website.5 Read more

Zwischen Weihnachten und Neujahr blicken alle zurück auf das ausgehende Jahr. Es ist die Zeit für Housekeeping und Selbstreflektion: Was ist neu, was gut, was weniger gut? Dieser Blog besteht seit dem 13. August 20201 und kommt 2025 in sein fünftes Jahr. Aus diesem Grund habe ich begonnen, die in meinen Beiträgen reichlich verwendeten Links auf Erreichbarkeit zu prüfen.2 Neu ist auch der Hinweis bei Beiträgen älter als 3 Jahre, dass die Inhalte zwischenzeitlich überholt sein könnten. Read more

Dieser Blog hat schon einige Jahre auf dem Buckel und entgegen landläufiger Meinung vergisst das Internet doch eine Menge. Das sehe ich an den toten Links in den Fußnoten. Und so entstand der Wunsch, diese “mal eben” mit einem kleinen Bash-Skript identifizieren und markieren zu können. So wie die Wikipedia es mit Ihren Verweisen macht. Aus dem “mal eben” wurde am Ende ein ganzer Nachmittag. Für die Ungeduldigen Leser die Fußnote zum Repo auf Codeberg.1 Read more

Ein größerer ISP aus München hat derzeit thermische Probleme und wird in diversen Foren und Newsseiten mit erzürnten Postings und Hasstiraden beschimpft.1 Dabei täte es den meisten Schreiberlingen gut, vorher in Ihre Verträge und AGBs geschaut zu haben.2 Der Provider stellt eine Verfügbarkeit der physikalischen Anbindung seiner Object Storage Infrastruktur, Webspace-Pakete, Dedicated Server, Virtual Dedicated Server sowie VPS von 95% im Jahresmittel her. 95% ist im Vergleich mit anderen ISPs eine geringe Verfügbarkeit. Das sind volle 18 Tage Downtime im Jahr, mehr als ein halber Monat. Netcup hat zum Beispiel 99,6%, was nur 1,5 Tage wären.3 Read more

Heute am 14.05.2024 tritt das Digitale-Dienste-Gesetz (DDG) in Kraft.1 Wie so oft, wenn EU-Verordnungen und Normen in Landesgesetze umzusetzen sind, hat es etwas gedauert. Wer denkt, das betrifft nur die “Großen” Plattformbetreiber, denkt falsch. Das Gesetz über Digitale Dienste trifft alle Anbieter kommerzieller Webseiten. Wie bisher gilt eine Befreiung der Haftung für Nutzerbeiträge. Es ändert sich somit das Gesetz, nicht jedoch die geltende Praxis nach Eingang von Hinweisen, zügig zu reagieren. Read more

Alle paar Monate kommt eine Mail wie im nachfolgenden Screenshot. Eine meiner Websites sei gehackt und die Inhalte der Datenbanken kopiert. Gegen eine Zahlung in Bitcoins könne ich alles wieder in Ordnung bringen. Jaja, nur leider nutze ich weder Redaktionssysteme noch langsame Datenbanken zur Darstellung meiner Websites. Alles statische Seiten, die mit Folder2RAM zusätzlich noch mit einem Speed-Bump für’s SEO versehen sind. Und während ich mich bequem zurück lehne, greifen andere zum Telefonhörer und gehen der Sache auf den Grund. Read more

Herzlichen Glückwunsch, dann sollten vorsichtshalber alle Passwörter neu gesetzt werden. Sowohl Google Chrome, als auch Microsoft Edge mitsamt Editor petzen Passwörter wenn drei Bedingungen zutreffen: Die erweiterte Rechtschreibprüfung ist aktiviert. Der Benutzer klickt bei Eingabe auf “Passwort zeigen”. Die Website verhindert nicht aktiv eine Rechtschreibprüfung. Die automatische Rechtschreibprüfung übermittelt in diesem Falle das vermeintlich falsch erkannte Wort ungefragt an die entsprechenden Google- und Microsoft-Services. Auch jeder Man-in-the-Middle Angreifer, der gezielt den Traffic zu diesen Diensten überwacht, gelangt so an die im Klartext übermittelten Passwörter. Ob diese systemseitig noch in Dateien oder an andere Orte gelangen bleibt unklar. Weitere Infos gibt es auf der Website des Finders.1 Read more

Online-Testtools gibt es wie Sand am Meer und bieten erste Orientierung bei der Bestimmung, wie es um eine Website bestellt ist. Ich nutze sie selbst und stelle diese hier gelegentlich vor.1 Für Audits und weitergehende Analysen bedarf es Tools aus dem Pentesting-Werkzeugkoffer, die tiefer graben. Eines dieser Tools ist der OWASP2 Zed Attack Proxy3, abgekürzt ZAP genannt. Es ist ein mächtiges Tool mit einer Vielzahl von Erweiterungen, einer programmierbaren API und grafischen GUI und nicht ohne Grund Bestandteil der Kali-Linux Pentesting-Distribution.4 Read more