Monatsarchiv für Mai 2009

IPv6-Kongress: Heimreise

Freitag, den 29. Mai 2009

Bei strahlendem Sonnenschein sitze ich nun im ICE auf der Heimreise. Mein Vortrag über IPv6 mit der C-Standardbibliothek lief (soweit ich das beurteilen kann) prima, nur habe ich mich in der Zeit verschätzt. Statt 2-3 Stunden war ich nach gut 1,5 Stunden mit den 40 Folien durch; am Ende habe ich dafür dann noch den Quellcode einer super-portablen Beispiel-Anwendung (”Hello-World”-Server :) ) vorgeführt.

Im Anschluss an diesen Vortrag habe ich dann noch zwei hochinteressante und unterhaltsame Gespräche geführt, zuletzt mit einem Mitarbeiter von IP-Exchange, bei denen unsere ganzen Server stehen.

Sehr amüsant war auch die Unterhaltung mit dem Taxifahrer (das Taxi habe ich mir wieder mit der DATEV geteilt; allerdings hatte ich mich für einen späteren ICE entschieden und “musste” dann noch die Zeit mit Eis essen verbringen). Der indische Fahrer jedenfalls war ein absolutes Vorbild in Freundlichkeit, Offenheit und Ausstrahlung; wir waren seine ersten Kunden in seiner heutigen Schicht, und er war super drauf :) Ich würde es ihm gönnen, wenn er am Wochenende den Lotto-Jackpot knackt (er arbeitet schon seit 29 Jahren daran…) ;-)
Traumwetter in Frankfurt

A propos Taxifahrer: mit dem Fahrer gestern Abend zum Hotel war’s auch interessant. Er wollte wissen, was für ein Kongress das sei, konnte aber mit dem Begriff “IPv6″ nichts anfangen. Ich habe ihm das praktisch so erklärt, dass nun langsam die Techniker daran arbeiten, dass das Internet in rund 5-10 Jahren immernoch funktioniert, auch wenn dann wirklich jeder mit seinem Handy oder gar Kühlschrank “online” gehen kann. Um mehr geht es ja im Prinzip auch erstmal gar nicht.

Das war auch ein Fazit des Kongresses: IPv6 macht nicht wirklich alles schneller, besser, einfacher - in erster Linie sollen damit die Adressierungs-Engpässe behoben werden. Nebenbei hat man noch die Vorteile des einfacheren Routings sowie dem Verzicht auf NAT (ohh ja, da gab’s heiße Diskussionen, aber wer IPv6 “richtig” verstanden hat wird merken, dass der Verzicht auf NAT keinen Nachteil oder Sicherheitsproblem darstellen muss) .

Ein weiteres Fazit - und so auch bei den meisten Referenten auf der letzten Folie zu lesen - war, dass nun ein guter Zeitpunkt ist, um sich schonmal mit IPv6 zu verfassen. “IPv6 is not rocket science” (Google). Um die ersten Erfahrungen mit IPv6 zu sammeln, bedarf es praktisch keiner Investitionskosten - und alles, was man jetzt lernt, muss man später nicht eventuell unter Druck lernen.

Wann genau allerdings große Anbieter wie 1&1 oder STRATO “offiziell” IPv6 einführen, bleibt deren jeweiliges Geschäftsgeheimnis. Alle arbeiten jedenfalls schon daran; AVM gibt noch dieses Jahr die IPv6-Firmware (die zum Testen bereits downloadbar ist) offiziell frei. Ich nutze diese Gelegenheit gleich mal für schamlose Schleichwerbung: jeder Colocation-Kunde bei uns hat automatisch und ohne was tun zu müssen gleichzeitig “echte” IPv6-Adressen.
Auch wenn ich mich selber nicht mit Routing, RIPE und Autonomen Systemen beschäftige (das macht unser RZ schon super, das muss ich nicht auch lernen ;) ) war dieser Kongress trotzdem sehr lehrreich. Beispielsweise war die Begründung von Google, warum “www.google.com” noch keinen AAAA-Record hat, auch recht interessant: es gibt durchaus Client-Systeme, die sich dann aufgrund einer fehlerhaften Netzwerkstruktur nicht mit Google connecten könnten. Das Problem dabei ist dann eben, dass man heutzutage ja häufig zur Fehlersuche Google nutzen will… und wenn eben genau das nicht geht hat man ein Problem.

Angeregt wurde auf einem anderen Vortrag, einen “IPv6-Tag” einzuführen, an dem für bestehende Websites (z.B. heise.de! :-) ) zusätzlich zum bestehenden A-Record ein AAAA-Record im DNS eingetragen wird. Die Leute, die dann tatsächlich nicht mehr auf diese Domains zugreifen können, wissen dann zumindest, dass sie bei der früher oder später ohnehin stattfindenden Migration ein Problem haben werden, und können den Fehler mit dem jeweiligen Netzbetreiber lokalisieren (und optimalerweise gleich beseitigen).

Die potentiellen Fehlerquellen sind dabei ja auch eher übersichtlich. Falsche MTUs, geblocktes ICMP, falsch konfigurierte Firewalls - eigentlich nichts, was man nicht irgendwie lokalisieren könnte.

Ich denke auch, dass man halt einfach mal anfangen muss, Dienste auf IPv6 zu deployen. Ein großes Beispiel, wo IPv6 still und heimlich eingeführt wurde, ist der Antiviren-Spezialist Avira.

Ich werde nun jedenfalls noch meine restliche Heimfahrt genießen - auch wenn ich gleich nicht mehr der Musik von dem Mädel hinter mir zuhören kann (steigt in Würzburg aus - unglaublich, wie laut Kopfhörer sein können - und noch unglaublicher, wie schwerhörig die Jugend von heute sein muss…).

Am Wochenende bin ich dann noch auf einer privaten Feier, so dass ich praktisch seit Dienstag durchgehend mit Catering versorgt wurde. Die Nacht von Samstag auf Sonntag bin ich in einem uralten Schloss-Hotel. Das steht zwar in krassem Gegensatz zum 4-Sterne-Business-Hotel in Frankfurt (also optisch meine ich jetzt), wird aber bestimmt auch nett.

Dann schonmal ein schönes Wochenende, und am Montag einen schönen kundenfreien Arbeitstag! ;-)

IPv6-Kongress: 18 Stunden Uptime

Donnerstag, den 28. Mai 2009

Ein laaaanger Tag neigt sich dem Ende - der erste Tag vom IPv6-Kongress.

Der Wecker ging um 04:00 - der Zug nach Nürnberg kurz nach 05:00, und um 06:00 saß ich bereits mit einem üppigen Frühstück im ICE nach Frankfurt.

ipv6-2009-fruehstueck.jpg

Kurz nach 8:00 war ich dann in Frankfurt. Das Taxi habe ich mir gleich mit zwei anderen Kongress-Besuchern geteilt, die auch in Nürnberg eingestiegen sind (die Welt ist ein Dorf…).

Der erste Kongresstag war hochinteressant. Ich bin nun aber seit über 18 Stunden auf den Beinen, und leider zu müde da nun ausführlicher darüber zu berichten. Details folgen also in Kürze.

ipv6-2009-saal.jpg

Abgeschlossen wurde der Abend mit einem äußerst netten “Come Together” mit lecker Häppchen.

Fortsetzung folgt…

Ausfall Telefonleitung

Mittwoch, den 27. Mai 2009

Unsere Telefonanbindung im Büro ist durch einen Leitungsschaden beim Netzbetreiber derzeit ausgefallen.

Nur gut, dass unsere Notfallnummer parallel über SIP zugeführt wird :) Die Internetverbindung läuft über einen anderen Anbieter (und andere Leitungen).

[Update 11:38] Nun funktioniert’s wieder.

IPv6 mit der C-Standardbibliothek

Freitag, den 22. Mai 2009

Ende nächster Woche darf ich auf dem IPv6-Kongress in Frankfurt ein Tutorial zum Thema “IPv6 mit der C-Standardbibliothek” halten. Bis dahin wird es hier im Blog wohl recht ruhig bleiben, da ich noch einige Folien und Beispiele vorbereite.

Ich werde dann vom Kongress berichten, und (wenn möglich) die Folien veröffentlichen.

Nobody’s perfect

Donnerstag, den 14. Mai 2009

Nach dem Artikel über die DENIC-Passwort-Verschlüsselung erhielt ich eben von einem Blogleser einen Hinweis auf bestehende XSS-Lücken auf unserer Website.

Die Fehler wurden selbstverständlich umgehend behoben. Die betroffenen Scripte stammten aus einer Zeit, zu welcher der Begriff “XSS” noch völlig unbekannt war. Aber das ist eigentlich auch keine akzeptable Ausrede. Dafür ein Anlass, die ganzen alten Scripte mal wieder zu prüfen…

Das “etwas andere” SMS-Gateway

Donnerstag, den 14. Mai 2009

Die Telekom bietet auf ihrem neu eröffneten Entwicklerportal Developer Garden Programmierschnittstellen für einige Dienste wie z.B. SMS-Versand oder Aufbau einer Telefonverbindung.

Wer statt der bereitgestellten SDKs die Webservice-Schnittstelle nutzen will (oder muss) wird es aber nicht leicht haben, wie die Dokumentation zeigt. Diese Lösung mag technisch zwar sauber sein, und in hochkomplexen Systemen wie bei der Telekom auch sicher berechtigt sein, aber vielleicht schießt diese doch etwas am Ziel vorbei. Für den Versand einer SMS-Nachricht werden mindestens 4 SOAP-Nachrichten hin- und hergeschickt, und insgesamt rund 20 kB Daten ausgetauscht…

Für unser SMS-Gateway reicht ein einziger HTTP-Request. Die Authorisierung erfolgt über ein Hash, welches das Passwort, einen Timestamp, alle Nutzdaten sowie eine fortlaufende Seriennummer umfasst. Somit wird kein Klartextpasswort übertragen (unabhängig von der SSL-Verbindung), und der Sendeauftrag kann nicht mehrfach ausgeführt werden. Und ein PHP-Client dafür ist in weniger als 5 Minuten programmiert. :)

Unsichere Passwortverschlüsselung

Donnerstag, den 14. Mai 2009

Was hat sich die DENIC eigentlich bei der Seite mit der Passwort-Verschlüsselung gedacht?

denic-passwort.jpg

Gibt man in dem Feld ein Passwort ein (welches übrigens mindestens 12 Zeichen lang sein soll; ein entsprechende Fehlermeldung erhält man aber erst nach einem erfolglosen Versuch), dann wird dieses unverschlüsselt (!) zum Webserver der DENIC gesendet, und dort der entsprechende Hash-Wert berechnet:

denic-passwort-post.gif

Was soll das bitteschön? Sollen Benutzer dazu ermuntert werden, ihre (möglicherweise “sicheren”) Passwörter unverschlüsselt über’s Netz zu schicken, nur um einen Hash-Wert berechnet zu bekommen?

Die Berechnung von Hashes geht üblicherweise auch komplett in JavaScript - somit müssten überhaupt keine Daten über’s Netz geschickt werden. Wir bieten unseren Kunden so zum Beispiel an, ihre .htaccess-Passwörter zu berechnen.

[UPDATE 18.05.2009] Die Passwort-Verschlüsselung wurde inzwischen von der DENIC-Website entfernt.

Paintball vs. Schützenverein

Mittwoch, den 13. Mai 2009

Paintball/Gotcha soll verboten werden, weil es “Kampfhandlungen simuliert”. 14-Jährige dürfen aber weiterhin in Schützenvereinen herumknallen…

Wann wird Fechten dann eigentlich endlich verboten?

Immer dieser blinde Aktionismus vor irgendwelchen Wahlen… :roll: