Ich war dann mal weg

Freitag, 20. September 2013, 13:42

Vier Wochen Elternzeit :) Zwei Wochen waren wir unterwegs (was für eine Materialschlacht…), die anderen zwei Wochen zu Hause. Im Büro haben mir meine Leute den Rücken freigehalten, und zum Glück war der obligatorische Papierberg nach Wiederantritt recht überschaubar.

kids.jpg

Die zunehmend ruhigeren Abende habe ich genutzt, um endlich mal wieder viel zu Lesen. Eines meiner neuen Lieblingsbücher stelle ich nächste Woche näher vor. :)

IPv6: erledigt.

Freitag, 20. September 2013, 10:02

So, das Thema IPv6 ist für uns nun praktisch erledigt. Schon vor einigen Wochen wurde unsere Standleitung im Büro IPv6-fähig gemacht (nach nur knapp zwei Jahren Wartezeit… ;) ). Es ist übrigens keine gute Idee, am Abend vor dem vierwöchigen Urlaub noch “mal schnell” die Firewall komplett neu aufzusetzen, um (so die Idee) dann unterwegs flexibler via IPSec ins Büro-VPN zu gelangen. ;)

Jedenfalls habe ich vorhin noch IPv6 für unser Gast-WLAN aktiviert. Zwei Mausklicks später erhielt das Notebook per Router Advertisement seine IPv6-Adressen - einfach so. :)

Zu Hause habe ich dank T-DSL und einer neuen FritzBox seit rund zwei Wochen ebenfalls IPv6. Nur das mit der IPv4-Adresse auch täglich wechselnde IPv6-Präfix ist etwas gewöhnungsbedürftig. Mal schauen, was sich auf Dauer besser etabliert: entweder die Adressauflösung für interne Geräte dem in der Fritzbox integrierten Nameserver zu überlassen, oder konsequent mit ULAs (Unique Local Addresses) zu arbeiten.

Nach den bisherigen “IPv6-Days”, an denen testweise die Erreichbarkeit von Diensten via IPv6 getestet wurde, dürfte der nächste Schritt dann wohl ein “IPv6-only Day” sein, an dem testweise mal der IPv4-Uplink abgeschaltet wird. :-P Bis dahin wird es aber vermutlich noch etwas dauern, wenn man den derzeitigen Stand der IPv6-Umstellung im Internet so beobachtet.

PayPal mal wieder…

Montag, 12. August 2013, 10:20

Man liest ja viel über die fragwürdigen Geschäftspraktiken von PayPal. Manches klingt wirklich haarsträubend, und eben hatte ich wieder genau so einen Fall. PayPal hat die von einem Kunden ausgeführte Zahlung eigenständig wieder storniert, da PayPal der Meinung war, der Kunde hätte diese nicht autorisiert. Heute (12.08.2013 um 07:16) sind dann drei identische Mails eingetroffen, mit denen wir aufgefordert wurden, bis zum 03.08.2013 eine Stellungnahme abzugeben (und nein - diese Mails hingen nicht im Greylisting). Um 07:24 kam die Info, dass die Zahlung nun zurückgebucht wurde, da wir nicht reagiert haben.

Immerhin hat PayPal nun endlich einen vorbildlichen, telefonisch erreichbaren Kundenservice. Ich hatte aber das Gefühl, dass man als Verkäufer “virtueller” Waren wie ein Halbkrimineller gesehen wird: es sei unsere Pflicht, auf Anfrage von PayPal nachzuweisen, dass die Zahlung eines Kunden auch beabsichtigt sei.

WTF?

Empfehlungen

Donnerstag, 8. August 2013, 22:58

Für eine anstehende lange Autofahrt habe ich eben mal nachgeschaut, welche Hörbücher mir Amazon denn so empfiehlt.

Das hier war auf Platz 1:

erdbeerinchen.png

Also, nix gegen Erdbeerinchen, aber das muss dann wirklich nicht sein… ;)

Es wäre vielleicht ganz gut, während des Checkout-Prozesses schon anklicken zu können, ob der aktuelle Einkauf bei künftigen Empfehlungen berücksichtigt werden soll oder nicht.

Das Märchen vom doppelten Elterngeld

Samstag, 20. Juli 2013, 10:04

Nach einem kürzlich veröffentlichten Urteil des Bundessozialgerichts werden meine Frau und ich in letzter Zeit immer wieder mal darauf angesprochen, dass das ja toll sei, weil wir nun das doppelte Elterngeld für unsere Zwillinge erhalten würden.

Um das mal kurz klarzustellen: das ist leider absoluter Quatsch. Zwar titeln selbst die Tagesthemen mit “Bei Zwillingen gibt’s doppeltes Elterngeld“, richtig wäre aber “Bei Zwillingen gibt’s doppelte Elternzeit“. Fakt ist nämlich, dass nach dem Urteil beide Eltern jeweils für eines der Kinder Elternzeit nehmen können (und dafür dann ggf. Elterngeld erhalten), statt dass es insgesamt nur 12 bzw. 14 Monate gibt. In der Praxis wird es aber recht selten der Fall sein, dass beide Eltern gleichzeitig die ganzen 12/14 Monate lang zu Hause bleiben. Auch nach diesem Urteil wird kein Elternteil, das für beide Kinder “gleichzeitig” Elternzeit nimmt, das doppelte Elterngeld erhalten!
Die Formulierung “doppeltes Elterngeld” suggeriert aber, dass es tatsächlich das doppelte Geld gäbe. Manche Medien treiben das noch etwas bunter, indem sie die Zahl der Zwillingsgeburten (rund 12.000) mit den maximal möglichen Mehrkosten pro Fall (rund 20.000 EUR) multiplizieren und somit auf Mehrkosten in “dreistelliger Millionenhöhe” kommen. Mal ehrlich: welche Redakteure (oder einfach nur “Texter”) denken sich so was aus?

Unter’m Strich wurde der Anspruch auf’s Elterngeld nur an die “normalen” Einzelgeburten angepasst. Dass der Mehrlingszuschlag dafür überarbeitet werden muss, wurde ja extra von den Richtern hervorgehoben.

So viel dazu. Ich werde dieses Jahr übrigens auch noch mal Elternzeit nehmen, aber unabhängig von dieser Entscheidung. Der Wert dieser Zeit läßt sich meiner Meinung nach ohnehin nicht in Gold aufwiegen. :)

maxicosis.jpg

Upgraded

Mittwoch, 3. Juli 2013, 15:10

Aus dem aktuellen DE-CIX Newsletter: :-)

Upgraded

PCI-Compliant

Donnerstag, 27. Juni 2013, 10:57

Wer es nicht braucht, der sollte die Finger davon lassen - wer es aber braucht, der weiß, wie schwierig das sein kann: PCI-Compliance. Zum Glück gibt es aber LiveConfig: ab der nächsten Version (1.6.4) kann man mit wenigen Mausklicks alle Serverdienste so konfigurieren, dass diese den Scan eines PCI-ASV (Authorized Scanning Vendor) bestehen. Unseren Referenzserver haben wir so bereits erfolgreich durchgetestet:

pci.png

Das bedeutet aber noch nicht, dass der Server somit konform zum PCI-DSS (Data Security Standard) konfiguriert ist - auch wenn Anbieter anderer Controlpanels das gerne so verkaufen. Wir bereiten derzeit eine ausführliche Checkliste dafür vor - weitere Details dazu dann bei Gelegenheit. Unter anderem ist es erforderlich, dass eine Zwei-Faktor-Authentifizierung für Admin-Logins verwendet wird (siehe PCI-DSS 8.2, kann Plesk das? *hüstel*).

Abschließend muss ich aber sagen, dass die aktuellen PCI-Scans ein völliger Quatsch sind. So fällt man beispielsweise durch, wenn für SMTP, POP oder IMAP ein SSL-Cipher genutzt werden kann, der nicht gegen die BEAST-Attacke immun ist. Diese kann man als Angreifer aber nur ausnutzen, wenn man die Möglichkeit hat, große Datenmengen durch den verschlüsselten Übertragungskanal zu senden, auf die man selbst Einfluss hat (z.B. per Java-Applet, JavaScript, etc.). Bei SMTP/POP/IMAP ist das nicht möglich.

Die Einschränkung der SSL-Ciphers führt dazu, dass bei klassischen SSLv3/TLSv1-Protokollen lediglich RC4 als einziger “erlaubter” Chiffre übrig bleibt - und der gilt bekanntlich auch nicht mehr als besonders sicher. [PARANOID]Vielleicht ist nur RC4 erlaubt, weil so bequem alle verschlüsselten Verbindungen via PRISM etc. decodiert werden können?[/PARANOID]

Interessanterweise hat der PCI-Scan aber kein Problem damit, dass bei FTPS-Verbindungen wiederum die BEAST-anfälligen Block-Chiffres erlaubt sind - das ist schon irgendwie inkonsequent.

Zumindest bei den PCI-Scans durch Comodo sieht es übrigens so aus, als ob diese mit Nessus ausgeführt werden (die Scan-Muster auf dem Server sowie einige Einstellungsmöglichkeiten bei HackerGuardian legen das nahe). Wir haben testweise unser System mit OpenVAS geprüft und dabei deutlich ausführlichere und brauchbarere Ergebnisse erhalten als mit dem PCI-Scan-Report. Ein Loblied auf OpenVAS möchte ich in Kürze noch mal in einem separaten Blog-Beitrag singen. :)

Hoppla…

Samstag, 22. Juni 2013, 11:29

Seit einigen Tagen beobachten wir eine leicht angestiegene Last auf einem unserer DNS-Server. Nicht nennenswert, aber immerhin im MRTG-Graphen leicht sichtbar.

Nun habe ich in der Prozessliste gesehen, dass der BIND-Prozess derzeit >30% CPU zieht, obwohl quasi nichts Besonderes los ist (der DNS arbeitet nicht als Resolver, sondern löst nur die bei uns gehosteten Domains auf). Erst auf den dritten oder vierten Blick ist mir dann aber etwas Anderes aufgefallen: in der Skala des Graphen für DNS-Anfragen pro Minute steht plötzlich ein “k”. Soll heißen, die Anfragezahlen sind in den letzten Tagen etwa um den Faktor 500 (!) gestiegen. Im Wochen-Graphen sieht man das recht deutlich:

dns-week.png

Ich bin mal gespannt was genau dahinter steckt. Als Erstes werde ich mir mit tcpdump nun mal die Anfragen etwas genauer unter die Lupe nehmen…