Neujahr ist eine gute Gelegenheit, auszumisten. Das habe ich habe heute mit meinen alten Bookmarks getan. Schön, wenn man gleich fünf oder zehn auf einmal löschen kann, weil die Seiten nicht mehr existieren. Dabei bin ich auch auf eine alte Sammlung Amiga-Links gestoßen. Die konnte ich alle löschen – bis auf einen, der tatsächlich noch aktuell war: AmiNet.

Anfang der 1990er war es noch üblich, Software per Diskette zu verschicken, wobei diejenigen von Fred Fish besonders bekannt war. Die Begriffe "Freie Software" oder "Open Source" waren damals vielleicht geboren, aber auch wir Studenten kannten sie nicht. Für uns gab es "Freeware" oder "Public Domain" (und noch ein paar Kategorien wie "Shareware"). Und dann kam Aminet! Erst ein einzelner FTP-Server, später ein paar Spiegelserver, von denen an sich die Software direkt herunterladen konnte. Wie revolutionär das war, wir mir erst heute bewußt. Und ich gehörte zu den Privilegierten, die an der Uni Internet hatten und Aminet nutzen konnten.

Bis Mitte der 1990er wurde Aminet ein wichtiges Online-Archiv für Amiga-Software. Mehr zur  Bedeutung und Geschichte von Aminet (Selbstdarstellung) beschreibt der englische Wikipedia-Eintrag (der deutsche Eintrag berücksichtigt leider die aktuellere Entwicklung nicht).

Was mich aber am meisten fasziniert: Es gibt Aminet noch immer. Und auch die Daten sind noch da. Darunter eine Version meines Editors AmokEd von 1992, zu dem als Quelle "Fish collection" angegeben ist. Und auch die Fisk Disks gibt es noch als FTP-Archiv und im Fred Fish memorial archive.

While I not blogged on this topic yet, for several times now I looked into the topic of how to distribute Python for Windows users. There are several major problems, especially if one wants to cross-bundle from e.g. Linux. The later is a requirement for me, since my development platform is Linux and I do not want to boot into Windows just for creating a new distribution package.

With "cross-bundling" I mean "just" sticking together pure python programs, eventually with already compiled third-party packages like GTK. So one of the problems may be where to get the binary packages from. But I'll not going into this today.

The program I want to distribute is my pdfposter, which scales and tiles PDF images/pages to print on multiple pages. Basically this is a Python script, a Python package and another Python package (pyPDF). On a Unix system, installing it is quite easy, assuming that Python is already installed (which is the case on Linux).

Not so on WIndows!

On Windows users are used to get self-contained packages. For installing pdfposter, one needs to install Python, setuptools, (maybe pyPDF, if you are offline) and then pdfposter. Users get trapped be the provided .msi and pdfposter got horrible comments on Heise Software Verzeichnis. So I decided to release a Windows executable of pdfposter for the next release.

In 2008 I already did some work on pyinstaller, adding support for different target-platform and for relative imports (see this trak timeline). One of the major pros of pyinstaller is: the binaries required for bootstraping the program on the target platform are included prebuild. So one may really bundle cross platform.

Meanwhile, a lot has been worked on pyinstaller and it is now able to include Python eggs (this is packages packed into a zip-file or unpacked into a directory). Wow! py2exe (one of the major other options) still does not support this. There is still some more work to do until can use pyinstaller. [Now it's getting technical] Currently scripts defined via entry_points are not bundled. You may work around this by first installing the script, not this will not recognize the required module.

It seams as if there is time for some more contributions to pyinstaller.

Ich habe ja schon öfter von OpenStreetmap geschwärmt. Heute habe ich in einem Artikel bei heise.de einen tollen vergleich zwischen Google Maps und OpenStreetmap gefunden: Es werden beide Karten transparent übereinandergelegt, mit einem Schieberegler kann man einstellen, welche der beiden Karten stärker durchscheint.

Es ist schon interessant, den Regler von Links (Google) langsam zur Mitte zu schieben und zu sehen, dass plötzliche viele, viele Details austauchen: Fuß- und Radwege, Parks, Gebäude.

Hier ein paar Beispiele:

• Der englische Garten in München

• Landshut, man beachte die Wege in der "Flutmulde"

• Nürnberg, hier beachte man den Detailreichtum der Openstreetmap-Karte um den Dutzendteich und um den Tiergarten (Google kennt noch nicht einmal den Valznerweiher) oder im Hafen, Gibitzenhof und dem Rangierbahnhof.

Hier ein Beispiel, in dem Google die Nase vorne hat, wir uns wegen der Kartenfehler aber dann doch ordentlich verfahren hatten.

Auf der Sicherheitsmesse it-sa in Nürnberg beteiligte ich mich an einer Podiumsdiskussion der (ISC)2 – dem Herausgeber der Zertifikate CISSP und CSSLP. Das Diskussionsthema lautete: "Das richtige Team für die IT Security". Die Gesprächsrunde sollte klären, wer zu einem idealen Security-Team gehört, welche technischen, welche theoretischen Know-how-Träger dafür nötig sind und wo welche Verantwortungen liegen und wie man dieser Verantwortung auch nachkommt. Sehr schnell tauchte die Fragestellung auf: Kann der Geschäftsführer seine IT Security guten Gewissens und auf rechtlich sicherem Terrain outsourcen? Kann er externen Mitarbeitern die Verantwortung für interne Unternehmensbelange übergeben?

Gleich zwei meiner Vortragsthemen haben es in das neue  Special "Sicher im Netz" des iX Magazins geschafft. Sie finden sie in zwei Artikeln, die ich speziell für das iX Special überarbeitet und inhaltlich auf den neusten Stand gebracht habe:

• "Konzept Jericho - kann man Firewalls abschaffen?"

• "Sicherheitsaufgaben priorisieren mit CVSS"

Natürlich habe ich mich über das Interesse der iX-Redaktion sehr gefreut. Denn es belegt, dass meine Themen als Security-Berater für eine breite Leserschicht interessant sind. Und ganz nebenbei hat mich die Überarbeitung der Beiträge veranlasst, nochmal über den aktuellen Stand dieser Themen nachzudenken und um einige neue Aspekte zu erweitern.

Viel Spaß beim Lesen!

Die geschlossenen Gruppe für CISSPs auf Xing gefällt mir schon lange. Eine gute Möglichkeit, mit anderen CISSPs in Kontakt zu treten. Da ich nicht nur CISSP sondern eben auch CSSLP (Certified Secure Software Livecycle Professional) bin, habe ich hierfür eine geschlossenen Gruppe eingerichtet. Heute habe ich die Einladungen verschickt und hoffe auf rege Beteiligung.

„Benutzerrechte müssen beschränkt werden“. So lautet eine der Grundregeln in der Informationssicherheit. Was sich so despotisch anhört, hat seinen Sinn, nämlich zu verhindern, dass Unberechtigte keinen Schaden anrichten können. Erster Gedanke sind hierbei Würmer oder Viren, die das Unternehmensnetzwerk verseuchen, weil etwa unter Windows jeder als „Administrator“ unterwegs ist. Oder der Mitarbeiter, der die Gehaltslisten der Buchhaltung ausspäht. Es geht also um Verbote.

Nur wenige denken bei der Forderung an selbst auferlegte Beschränkung. Ich bin ein Fan davon. Denn: Wohin ich nicht darf, dort kann ich nichts (unbeabsichtigt) anstellen. Und wenn dort etwas liegt, was mich nichts angeht, was soll ich dann dort? Unsere Nachbarn sperren ihre Wohnungstür immer zweimal zu. Das soll mir recht sein, denn dann kommen sie auch nicht auf den Gedanken, ich würde ihnen Geld aus dem Portemonnaie klauen. Ebenso im Firmennetz! Wenn etwas mit Daten passiert, auf die ich keinen Zugriff habe, kann mir auch schlecht jemand vorwerfen, ich wäre schuld! Also nehmt mir ruhig diese (Benutzer-) Rechte!

Auch dem Logging haftet eher der Odeur des Ausspähens, der Überwachung und Kontrolle an, nämlich zu überprüfen, ob Benutzer absichtlich Eingriffe und Veränderungen vornehmen. Dabei ist auch hier meiner Meinung nach ein anderer Aspekt viel wichtiger: Durch die Log-Dateien lassen sich etwas Fehlersituationen frühzeitig erkennen und mir hat ein sorgfältiges Logging in einem Projekt schon einmal „das Leben gerettet“:

Ich musste in einer unübersichtlichen Datenbank Einträge ändern. Leider war nicht nur die Datenbank unübersichtlich, sondern auch das Webinterface dafür. Und – schwupps – hatte ich Daten in einem Bereich geändert, in dem ich weder etwas zu suchen hatte, noch Zugriff hätte haben sollen. Am nächsten Tag stand der Herr dieser Daten vor mir – was war mir das peinlich. Gerade einmal eine Woche im Projekt und so ein Fauxpas.

Es war also bei den Benutzerrechten kräftig geschlampt worden. Glücklicherweise hatte jemand bei der Datenbank an anderer Stelle zuverlässig und gut entwickelt: Alle meine Änderungen waren geloggt und so konnte ich meine unbeabsichtigten Änderungen korrigieren. Der Frieden im Projektteam wieder hergestellt.

Es kann also durchaus auch nützlich sein, die eigene vermeintliche Wichtigkeit mal zurückzustellen.

Bitte entfernen Sie den Eintrag "Antwort an" in Ihrem Mailprogramm.

Das braucht man nur, wenn es eine andere Adresse ist als der Absender. Wenn die Antwort sowieso an den Absender gehen soll, dann ist der Eintrag völlig nutzlos.

Im Gegenteil: Wenn -- wie bei Ihnen -- nur die E-Mail-Adresse drin steht, dann geht die Anwort nur noch an "h.dampf@alle-gassen.de", nicht aber an "Hans Dampf <h.dampf@alle-gassen.de>". Den Realname (Echtname) geht also verloren. Wenn ich dann alle Nachrichten an "Hans" suche, finde ich diese nicht, weil im Empfänger der "Hans" nicht auftaucht. Und das Adressbuch merkt sich einen neuen Eintrag, weil "Hans Dampf <h.dampf@alle-gassen.de>" und "h.dampf@alle-gassen.de" eben zweierlei sind.

Bei einem Brief schreibt man ja auch nicht: "Die Antwort schicken Sie bitte an die Adresse XXX", wenn der Absender schon auf dem Briefpapier steht.

Also weg mit dem "Antwort an".

Danke!

Indien, Saudi Arabien und die Vereinigten Arabischen Emirate ist es ein Dorn im Auge, dass Besitzer von Blackberry-Geräten unerkannt und unbeobachtet kommunizieren können. Sie wittern Gefahr und fordern Zugriff auf die Daten, die verschlüsselt per Blackberry versandt werden. Das Gezänk geht schon seit zwei Jahren – in den letzten Wochen aber wieder mit neuer Heftigkeit: Nach anfänglicher Gegenwehr scheint RIM nun klein beizugeben: Saudi Arabien soll die PINS und IMEI-Nummern der Geräte bekommen, Indien droht mit generellem Blackberry-Verbot und erhielt bereits von RIM Überwachungswerkzeuge. Betroffen von dem Streit ist übrigens nur der Blackberry von Privatkunden die den "Blackberry Internet Service" nutzen.

Unternehmenskunden mit Blackberry können sich also ohnehin beruhigt zurück lehnen, sie betrifft die Problematik nicht: Beim „Blackberry Enterprise Service“ werden die Daten zwischen dem Unternehmensserver und dem Blackberry-Telefon verschlüsselt.

Nun kann man vortrefflich darüber streiten, was die genannten Staaten mit ihren Forderungen eigentlich bezwecken. Die offizielle Lesart: Es sollen damit schwere Straftaten vereitelt werden. Lassen wir mal außen vor, dass in einigen Ländern schon regierungskritische Äußerungen und nacktes Fleisch als "schwere Straftat" geahndet werden.

Meiner Meinung nach läuft es ganz einfach auf Überwachung hinaus – so wie schon heute der „normale“ Mobilfunk überwacht wird. Übrigens auch in Deutschland, aber in den arabischen Ländern eben wesentlich restriktiver und mit drastischeren möglichen Konsequenzen. Ganz abgesehen davon, dass die Praxis zeigt, dass man damit allenfalls kleine Fische fängt.

Eine Sammlung von Tools, Texten und Anderem zu IPv6.

• Eine "Locally Assigned Global ID erzeugen":createLULA, mit Hintergrund-Informationen, dem Quelltext des Programms, etc.