Tempoprobleme bei KabelBW und UPC (Österreich)

Wie ich erfahren habe, gibt es seit einiger Zeit bei den Providern KabelBW und UPC in den Abendstunden starke Einschränkungen in der Verbindungsgeschwindigkeit zu Servern, die bei Hetzner liegen. Damit ist auch diese Webpräsenz betroffen.

Dieses Problem ist von Ihren Providern verursacht, da die vorhandenen Leitungen überlastet sind, Ihr Provider es aber ablehnt, weitere Leitungen zu schalten bzw. vorhandene zu vergrößern. Um dieses Problem abzustellen, eröffnen Sie bitte eine Störungsmeldung bei Ihrem Provider, vielen Dank!

Hintergrund: Der Traffic von Hetzner zu LGI (UPC/KabelBW) läuft nahezu ausschließlich über den Provider NTT, dort sind die Leitungen zu schmal. Ein von Hetzner an LGI/UPC/KabelBW angebotenes direktes Peering wurde von LGI/UPC/KabelBW bislang mehrfach abgelehnt.

IPv6 verbreitet sich immer mehr

Immer mehr Internetprovider bieten ihren Kunden den Zugang zum IPv6-Internet an. In Deutschland haben z. B. die Kabelanschluss-Anbieter bei neueren Anschlüssen standardmäßig IPv6-Anschlüsse geschaltet, aber auch die Telekom schaltet IPv6 an neuen Anschlüssen. Und so steigt auch der Anteil an IPv6-Traffic langsam aber sicher.

Auf dem Server pothe.de liegt der Anteil an IPv6-Traffic inzwischen bei etwa 10% – enthalten ist hier sowohl der Traffic im Web, als auch der für E-Mail. Ich bin gespannt, wie sich diese Entwicklung fortsetzen wird.

Arme Hunde, diese Poodle: SSL v3 endgültig unsicher

Als hätte ich es geahnt, als ich letzten Monat SSL v3 abgeschaltet habe, jetzt ist die Unterstützung von SSL v3 endgültig als unsicher einzustufen: Die POODLE-Attacke hebelt gesicherte TLS/SSL-Verbindungen aus, indem der Angreifer erzwingt, dass eine verschlüsselte Verbindung selbst mit modernsten Browsern und Servern  auf die veraltete SSLv3-Verbindung zurückfällt. Und durch bekannte Schwächen dieses Systems können somit Sitzungsinformationen und damit im schlimmsten Fall auch Inhalte vom Angreifer abgegriffen werden.

Somit gibt es nur eine Empfehlung: SSLv3 abschalten! Jeder Benutzer im Browser, und alle Serverbetreiber auf den Servern.

heise.de hat den Angriffsvektor verständlich beschrieben.

SSL-Sicherheit wird erhöht – Einschränkungen unter Windows XP

Lange habe ich damit gezögert, doch kurze Tests waren erfolgreich. Zur Erhöhung der Sicherheit wird der Server, auf dem dieses Webangebot liegt, seit gestern nur noch im TLS-Modus betrieben. Dadurch ist ein Zugriff mit dem Internet Explorer in Version 6 nicht mehr möglich.

Vernachlässigbar, hat dieser veraltete Browser doch praktisch keinen Marktanteil mehr. Und überhaupt, kein Mensch sollte ihn noch nutzen, strotzt er doch vor Sicherheitslücken.

Außerdem wird in Kürze das SSL/TLS-Zertifikat ausgetauscht. Das bisherige Zertifikat ist – wie im Internet bislang üblich – eines mit SHA-1-Unterschrift. Um die Sicherheit zu erhöhen (und auch, damit in zukünftigen Versionen von Google Chrome keine verwirrenden Fehlermeldungen kommen), wird dieses gegen eines mit SHA-256-Unterschrift ersetzt.

Für Besucher mit aktuellen Browsern und Betriebssystemen (also z. B. Windows Vista, Windows 7, Windows 8.1, aktuelles OS X) verläuft das Ganze transparent, d. h. es sind keine Unterschiede feststellbar. Wer jedoch noch immer Windows XP betreibt, aber das bereits 2008 erschienene ServicePack 3 nicht installiert hat, wird diese Seite zukünftig nicht mehr besuchen können, wenn der Internet Explorer oder Chrome verwendet werden.

Ganz ehrlich? Generell wird Windows XP nicht mehr von Microsoft unterstützt, sollte also per se nicht mehr für PCs am Internet betrieben werden. Und wer wichtige Updates seit sechs Jahren nicht mehr installiert, darf auch nicht mehr erwarten, dass er/sie alles sehen kann. Ähnliches gilt für Android: Ab Version 2.3 ist alles fein, und selbst diese alte Version sollte schon lange nicht mehr genutzt werden.

Faustregel: Alle Systeme jünger als 6 Jahre sollten keine Probleme mit SHA-256-Zertifikaten haben. Und Sicherheit geht vor.

Virtual Identity

Das nützliche Thunderbird-Plugin Virtual Identity ist leider nicht mehr über den Mozilla Store ladbar, sondern nur noch hier: https://www.absorb.it/virtual-id/wiki/DownloadPage

Tipp für Windows 8 und Windows 8.1 – START ist wieder da

Was sicherlich nicht nur ich, sondern sehr viele Umsteiger von Windows 7 oder XP auf Windows 8.1 bzw. Windows 8 vermissen: Den „richtigen“ Startbutton. Das, was Microsoft bei 8.1 abliefert, ist ja mehr oder weniger nur ein Witz.

Für schmales Geld erhält man den Start-Button wie von Windows 7 und Vorgänger bekannt zurück: Für nur 3 US-Dollar (ca. 2,30 EUR) kann man eine für zwei PC gültige Lizenz von StartIsBack kaufen. Und Windows endlich wie von früher gewohnt bedienen – noch dazu ist das für alle Benutzer sehr einfach zu erledigen, es sind keine tiefgreifenden Systemkenntnisse erforderlich – einfach installieren, fertig.

Übrigens ist das kleine Tool mehrsprachig, auf deutschem Windows wird es auch auf Deutsch installiert.

Merkwürdigkeiten

Ich habe mal wieder für ein kleines Projekt einen vServer bei Strato gemietet. Da ohne Laufzeit kommt man da mit 30 Tagen Kündigungsfrist monatlich raus, also kein großes Risiko.

Aber irgendwie gibt es echt viele Merkwürdigkeiten, wie ich schon jetzt, ohne den Server eingerichtet zu haben, feststellen konnte.

Es geht schon im Bestellformular los: Im Firmennamen können nur Buchstaben und wenige Sonderzeichen eingegeben werden. Nicht möglich sind z. B. Klammern. Und wie soll ich jetzt den Namen „proWeser UG (haftungsbeschränkt)“ da reinbekommen?

Der Server wurde zwar schon am Sonnabend Morgen bestellt, aber erst heute von Strato ausgeliefert. Also gibt es auch dort keine Automatik, sondern irgendein Mensch stößt das manuell an. Keine Schande (bei mir gibt es ja auch keine Automatik diesbezüglich), aber schon schade, da ich den vServer eigentlich am Wochenende bestücken wollte und nicht nach Feierabend unter der Woche.

Jetzt aber der Hammer: Man kann eine zweite IPv4-Adresse dazubestellen und eine IPv6-Adresse. Jawohl: Eine. Eine /128-Adresse. Kein Subnetz, exakt eine einzelne IPv6. Das widerspricht so ziemlich allem, wofür IPv6 steht und ist weitestmöglich von den Empfehlungen der Adressvergabestelle RIPE entfernt, welche nämlich die Verteilung /48 bis /56 empfiehlt (wobei mir auch ein /64 gereicht hätte). Aber /128 geht ja mal gar nicht. Aber vielleicht habe ich ja auch etwas übersehen? Mal sehen, was @STRATO_hilft meint…

Vorankündigung: Umzug auf neuen Server

In den nächsten Tagen zieht diese Internetpräsenz auf einen neuen Server um. Dadurch kann es zu kurzzeitigen Ausfällen kommen, dieses betrifft neben der Website auch den E-Mail-Verkehr sowie die Bildersuche und automatische-Update-Funktion von AP Modellbahn. Ebenfalls betroffen ist die Website des OptOutDay (da dieser traditionell im September stattfindet, dürften die Auswirkungen hier geringer sein).

Ein genauer Termin für den Umzug steht noch nicht fest, wird aber hier veröffentlicht werden, sobald er feststeht.

HSTS und SPDY: Mehr Sicherheit und Geschwindigkeit

Schon seit ein paar Wochen ist für erhöhte Sicherheit auf www.pothe.de der Sicherheitsstandard HSTS aktiv, seit heute ist für mehr Geschwindigkeit beim Surfen SPDY hinzugekommen.

HSTS sorgt dafür, dass Browser automatisch beim Aufruf der Website auf die verschlüsselte Version umschalten, d. h. jeder aufruf wird automatisch auf https://www.pothe.de umgeleitet. Dieses funktioniert leider nur in modernen Browsern wie Chrome oder Firefox, nicht jedoch z. B. im Internet Explorer. Und eine Voraussetzung gibt es auch noch: Einmalig muss die Seite bereits per https: aufgerufen worden sein, damit der Browser weiß, dass die Seite verschlüsselt ausgeliefert werden soll. Um auch diese Lücke zu schließen, habe ich heute die Aufnahme der Domain in die HSTS-Whitelist des Chromium-Projektes (welches Grundlage für Chrome und Firefox ist) beantragt. Mal schauen, ob und wann dieses erfolgt.

SPDY (gesprochen „Spiedie“ bzw. englisch speedy) ist der Nachfolger von HTTP, genauer gesagt ein Entwurf Googles für eine beschleunigte Erweiterung der HTTP-Übertragung. SPDY funktioniert ausschließlich auf verschlüsselt ausgelieferten Seiten (also mit dem https: davor) und soll die Auslieferung bis zu 50% schneller machen – in der Realität werden derzeit wohl etwa 20% erreicht. Besonders auf Seiten mit vielen einzelnen, kleinen Dateien kann SPDY seine volle Wirkung zeigen; da auf www.pothe.de kaum Seiten mit vielen Grafiken o. ä. existieren, ist der Geschwindigkeitsgewinn hier nicht so hoch, aber gefühlt dennoch vorhanen (kann aber auch Einbildung sein). Übrigens können der Internet Explorer und Safari derzeit kein SPDY sprechen, diese erhalten daher wie bislang die Seiten über den normalen HTTP bzw. HTTPS-Weg ausgeliefert. Es profitieren auch hier wieder moderne Browser wie Chrome, Firefox und Opera in ihren jeweils aktuellen Programmversionen.