world of cryptosteve

Punk, Nerd, Atheist, Skeptiker, Misanthrop, .....

in eigener Sache: Neue Zertifikate

Mit 2 Kommentaren

Seit einem Jahr läuft dieses Blog (und sämtliche anderen Seiten auf crashmail.de) nun mittlerweile als https-only. Ich nutze dafür StartCom Class1 Zertifikate, die eine Gültigkeit von einem Jahr haben und dann erneuert werden müssen. Über das Für und Wider eines https-only-Blogs möchte ich an dieser Stelle nicht referieren, dazu haben sich andere (wie z.B. Hanno Böck und Diego Elio Pettenò) bereits hinreichend geäußert.

Nur soviel: Gemäß Qualys SSLTest waren bei mir bislang noch schwache Ciphers im Einsatz, die ich nun gestern nach längerem Knobeln erfolgreich entfernen konnte. Im Zuge dessen wollte ich unbedingt auch Forward Secrecy und Strict Transport Security (HSTS)realisieren.

Während die Einrichtung von HSTS auf lighttpd noch recht leicht einzurichten ist, habe ich mir bei Forward Secrecy ziemlich die Zähne ausgebissen. Für HSTS braucht es lediglich folgenden Eintrag in der lighttpd.conf:


setenv.add-response-header = ( "Strict-Transport-Security" => "max-age=63072000; includeSubDomains",
"X-Frame-Options" => "DENY")


Für Forward Secrecy hingegen braucht es nur eine passende cipher-list und die Anweisung an den Webserver, die Reihenfolge der cipher-list auch entsprechend zu beachten. Trotz dutzender verschiedener cipher-lists und diverser Konfigurationsversuche hat es bei mir aber nie zum gewünschten Ergebnis geführt.

Nach längerer Ursachenforschung habe ich dann bemerkt, dass das Ergebnis folgender cipher-Abfrage beim OpenSSL auf der Workstation ein signifikant anderes Ergebnis ergab als auf dem Server:


# openssl ciphers -v 'HIGH:!SSLv2:!ADH:!DHE:!DH:!3DES:!MD5:!aNULL:!eNULL:!NULL:@STRENGTH' | grep -v SSLv3

Was also kann der Grund für diese Diskrepanz zwischen den beiden OpenSSL-Versionen sein? Nun, nachdem ich dann den ganzen Tag rumprobiert und die Websuche bemüht habe, fand ich abends schlußendlich den richtigen Hinweis in folgendem Thread auf gentooforum.de. Ursache für die fehlenden ciphers ist das USE-Flag "bindist", das beim stage3-tarball seit einiger Zeit standardmäßig gesetzt ist. Dazu gibt es einen entsprechenden Bugreport auf bugs.gentoo.org, an den ich mich gleich mal dran gehängt habe.

Ich habe bindist also aus der /etc/portage/make.conf entfernt, meine benötigten Tools neu gebaut und schon waren die entsprechenden ciphers in ausreichender Weise vorhanden. Dadurch komme ich jetzt mit einer recht einfachen cipher-list zum Ziel:


var.cipher-list = "TLSv1+HIGH !SSLv2 !RC4 !aNULL !eNULL !3DES @STRENGTH"

Dadurch müssen zwar die russische Suchmaschine Yandex (vertreten durch den YandexBot v3.0), sowie der IE6/IE8 auf WindowsXP und Java 6u45 draußen bleiben, aber ein Blick in meine Logfiles der letzten Monate verrät mir, dass von der Seite sowieso kein Traffic zu erwarten ist.

Achja, wer sich die cipher-list lieber selber zusammenstellen möchte, den verweise ich noch auf diese Seite von mozilla.org, auf der die korrespondierenden Namen der ciphers vernünftig aufgelistet sind. Durch solche Listen lassen sich die ciphers dann noch Belieben einsetzen.


ssl.cipher-list = "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-
SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-
SHA:DHE-RSA- AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-
SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"


So und bis Juni 2015 habe ich jetzt erstmal Ruhe vor diesem Thema ...

Geschrieben von cryptosteve | Kommentieren
Translate article to english

07.06.2014 um 23:27:40

Abgelegt in Gentoo, in eigener Sache, Linux

Umstieg von Ubuntu 14.04 Trusty Tahr auf Gentoo unstable - ein Erfahrungsbericht

Mit 4 Kommentaren

Dieser Artikel könnte viele Namen tragen ... sie alle würden nichts an der Tatsache ändern, dass meine Reise zu Ubuntu allenfalls ein Wochenendausflug war.

Um es kurz zu machen. Es sind nicht nur Bugs wie das Umgehen des Screensavers oder das Umgehen des Screensavers, sondern auch solche wie Umgehen des Screensavers, dass einem die Arbeit mit Ubuntu verleiden ... nein, es sind auch lauter kleine Detailschwächen wie laufende Crashes im Nautilus und schwarze aus Minimierung wiederhergestellte Fenster. Wenn ich meine Fehlermeldung zu Nautilus in eine Suchmaschine füttere, finde ich übrigens jahrealte Bugs zu Thema.

Wie dem auch sei, sich ist Ubuntu 14.04 LTS gerade brandneu vom Band gerollt und bedarf sicher noch viel Liebe, die es wohl auch bekommen wird. So schmerzfrei, wie ich es gehofft hatte, ist es dann allerdings doch nicht. Da lehne ich mich lieber in die Arme von Gentoo unstable zurück und freue mich über meine gewonnene Zeit.

Geschrieben von cryptosteve | Kommentieren
Translate article to english

06.05.2014 um 20:06:28

Abgelegt in Gentoo, Linux

Umstieg von Gentoo unstable auf Ubuntu 14.04 Trusty Tahr - ein Erfahrungsbericht

Mit 2 Kommentaren

Schon länger trage ich mich mit dem Gedanken, eine meiner Arbeitsmaschinen von Gentoo unstable auf eine andere, konservativere, Distribution umzustellen. Die Wahl fiel dabei letztlich auf Ubuntu, weil es für mich das kleinste Übel ist. rpm-basierte Distributionen fallen für mich von vorn herein raus .... nicht, weil sie schlecht sind, sondern weil ich einfach keine Ahnung davon habe. In der engeren Auswahl war noch Debian stable, was aber aus zweierlei Gründen ebenfalls ausgeschieden ist. Erstens sind wir vom letzten Release Ewigkeiten entfernt und zweitens vom nächsten Release ebenfalls noch Ewigkeiten entfernt. Bei Installation von Debian testing (Jessie) laufe ich hingegen Gefahr, mich in näherer Zukunft mit dem Wechsel auf systemd rumschlagen zu müssen. Nichts, was ich unter Gentoo nicht auch schon bewältigt habe, aber ganz gewiss etwas, womit ich mich erstmal für lange Zeit nicht beschäftigen möchte.

Die Wahl ist also gefallen, und zwar auf Ubuntu 14.04 LTS (Trusty Tahr). Diese Version ist in derzeitigem Zustand noch in der Beta-Phase, das Release ist für den 17. April 2014 geplant. Da der Wechsel auf dieser Maschine aber nicht unbegrenzten Aufschub duldet, bin ich die Installation schon jetzt angegangen. Anstatt der aktuellen beta-Version habe ich mich für den daily build entschieden, eine tagesaktuell gebaute Version des aktuellen Stands. Keine besonders gute Idee, wie ich anlässlich des Bugs 1300072 (LVM installation fails - regression with parted 2.3-17) schnell feststellen durfte. Der Installer kam über die Einrichtung des verschlüsselten LVMs einfach nicht hinweg.

Also habe ich doch auf den beta-Build zurück gegriffen und hier lief die Installation soweit dann auch glatt durch. Nach Abschluß der Installation wurde ich zum Reboot aufgefordert, was ich dann auch tat. Nach dem Neustart begrüßte mich Ubuntu mit der Bitte zur Eingabe des LUKS-Passphrase. Dumm nur, dass ich mit meinem USB-Keyboard hier keinerlei Eingaben machen konnte. Es hat mich dann einzige Zeit gekostet um zu ermitteln, dass für mein Lenovo Thinkpad USB-Keyboard mit TrackPoint ein besonderes Kernelmodul notwendig ist: hid-lenovo-tpkbd. Und damit stellte sich gleich die nächste Frage: wie schiebt man dem Installer dieses Modul zur Laufzeit unter, sodass man sich nicht nachträglich durchs chroot hangeln muss? Denn Durchbooten ging ja ohne LUKS-Passphrase nicht. Ich habe mich dann dafür entschieden, dass Modul während der Installation in /target/etc/initramfs-tools/modules zu platzieren, sodass es beim abschließenden Neubau der initramfs mit integriert wird. Ob das der richtige Weg ist, weiß ich nicht, aber es hat funktioniert. Nach einem Neustart konnte ich die Passphrase dann ordnungsgemäß eingeben und mein Ubuntu bis in den Anmeldemanager durchbooten.

Wem übrigens die Fonts in qt-Anwendungen nicht gefallen, der dürfte dem durch Installation und Nutzung von qt4-qtconfig abhelfen können.

Ein weiterer Punkt, der mich schon bei Testinstallationen immer massiv gestört hat ist die Schrittgröße bei Lautstärkeänderungen. In Ubuntu springt die Lautstärke pro Druck auf die Lauter-Taste einer Multimediatastatur derart massiv an, dass mir die Einstellung viel zu grobschlächtig ist. Ich sitze hier vor einem innig geliebten Teufel Motiv 2, bei dem mir so schnell die Ohren wegfliegen. Da dieses Problem in Ubuntu nicht neu ist, hatte ich bereits vor längerer Zeit eine Lösung via xbindkeys realisiert. In einem der unzähligen launchpad-Bugs fand ich dazu ein Skript, das ich für meine Zwecke adaptiert habe. Nach der Installation von xbindkeys müssen zunächst die Multimediatasten in der ~/.xbindkeysrc definiert werden:

# Increase volume
"sh ~/.scripts/ubuntu_volumeHack.sh up -i 2% -m Master"
m:0x0 + c:123
XF86AudioRaiseVolume

# Decrease volume
"sh ~/.scripts/ubuntu_volumeHack.sh down -i 2% -m Master"
m:0x0 + c:122
XF86AudioLowerVolume

Wer Schwierigkeiten mit dem Muten der Lautstärke hat, kann auf gleichem Weg auch die Mutetaste neu belegen:

"amixer -q set Master toggle"
XF86AudioMute

Wer Einzelheiten zur Konfiguration von xbindkeys haben möchte, der wirft bitte einen Blick ins ubuntuusers.de-Wiki zu xbindkeys.

Bevor man nun aber seine xbindkeys-Konfiguration via xbindkeys -f ~/.xbindkeysrc laden kann, muss zuerst die bisherige Zuordnung der Lautstärketasten aufgehoben werden. Dies geschieht unter SystemeinstellungenTastaturTastenkürzelKlang&Medien - hier jeweils ein Klick auf Leiser und Lauter und die bisherige Tastenkombination mit der Taste Backspace aufheben. Jetzt kann man die Tasten durch Aufruf von xbindkeys -f ~/.xbindkeysrc neu zuweisen.

Und ganz wichtig: das zugehörige Skript plaziert ihr in ~/.scripts/ubuntu_volumeHack.sh - denn irgendwas muss die Umsetzung der Lautstärke und die passende Anzeige der passenden Notification ja auch realisieren. Um die Übersichtlichkeit dieses Beitrags nicht vollends zu sprengen, lege ich das passende Lautstärkeskript im nopaste ab.

(kleiner Zusatzhinweis: in meinen Testinstallationen hatte ich desöfteren das Problem, dass der Ton trotz einer Lautstärkeeinstellung von Null noch leise zu hören war - deshalb habe ich das Skript dahingehend erweitert, dass der den Audiochannel bei Lautstärkeeinstellung Null zusätzlich muted und bei größer Null wieder unmuted)

Wer mit dem Ergebnis der Lautstärkeregelung abschließend zufrieden ist, platziert den xbindkeys-Aufruf in den Startprogrammen (dashStartprogramme).

Soweit fürs erste, schauen wir mal, was sich noch für spannende Aufgaben bieten ....

Geschrieben von cryptosteve | Kommentieren
Translate article to english

02.04.2014 um 21:50:00

Abgelegt in Gentoo, Linux

Warum Threema für mich trotzdem eine Alternative zu WhatsApp ist

Ohne Kommentare

Nachdem kürzlich bekannt wurde, dass der bekannte Messenger WhatsApp für die unfassbar große Summe von 19 Milliarden Dollar an Facebook geht, keimt die Diskussion um alternative Messenger wieder auf.

Derer gibt es sich reichlich ... schlechte, bessere und auch gute. Einen guten Beitrag über die Alternativen findet ihr z.B. bei netzpolitik.org.

Ich nutze seit längerem den Messenger Threema, der - gemessen an der Verbreitung innerhalb meiner Kontakte, bis dato eher ein Nischendasein fristete. Threema führt derzeit die Liste der Alternativen an und auch auf Twitter gibt es viel zum Hashtag #threema zu lesen. Gleichwohl ist Threema aufgrund seines nicht offen liegenden Quellcodes in der Kritik. Fefe hat eine umfangreiche Kritik zu Threema verfaßt.

Für mich ist Threema trotzdem eine (wenn nicht sogar DIE!) Alternative zu WhatsApp, da:

  • Threema einfach zu installieren und zu handhaben ist,
  • Ende-zu-Ende-Verschlüsselung beherrscht,
  • sehr kostengünstig ist (Android: einmalig(!) 1,60€),
  • der Server in der Schweiz und damit außerhalb der U.S.A. steht,
  • aufgrund des Protokolls, anders als bei OTR keine persistente Verbindung zum Gegenüber benötigt und daher mobilfähig ist,
  • das Gegenüber zum Schlüsselaustausch nicht online sein muss (anders als bei OTR),
  • 99% meiner Kontakte weder in der Lage sind noch Lust dazu haben, einen eigenen Messenger-Server zu betreiben,
  • nicht (und schon gar nicht zwangsläufig) das vollständige Telefonbuch zum Server hochlädt,
  • sich auch außerhalb von google-Play bezahlen läßt,
  • sich via Bitcoin vollständig anonym bezahlen läßt.

Wer aber ganz sicher gehen möchte, setzt sich vielleicht besser gleich einen Alu-Hut auf und verzichtet komplett auf Kommunikationselektronik.

Geschrieben von cryptosteve | Kommentieren
Translate article to english

20.02.2014 um 21:51:45

Abgelegt in Android, Datenschutz, Internet

Style von gtk3-Anwendungen unter KDE4

Mit 2 Kommentaren

Update: Bitte den Kommentar von Paul beachten! Es gibt einen Slot für die gtk3-Version von x11-themes/oxygen-gtk im regulären Portagetree - danke für den Hinweis.

Ich habe mir heute die aktuelle Version von Roger Router (ehemals ffgtk) installiert. Dieser Anrufmonitor kommt als gtk3-Anwendung, während x11-themes/oxygen-gtk bislang per Default nur gtk2-Anwendungen unterstützt. Dementsprechend sieht Roger Router unter KDE4 eher deplatziert aus.



Abhilfe schafft hier z.B. die Aktivierung des poly-c-Overlays. Darin enthalten sind ebuild für
x11-themes/oxygen-gtk3. Nach erfolgreichem Bau steht auch für gtk3-Anwendungen ein
entsprechender Eintrag in Systemeinstellungen → Erscheinungsbild von Anwendungen → GTK
bereit.



Danach passt sich Roger Router genau in den vordefinierten KDE4-Style ein.



Alternativ zu poly-c kann natürlich auch eines der anderen genannten Overlays versucht werden.

Geschrieben von cryptosteve | Kommentieren
Translate article to english

02.02.2014 um 22:31:11

Abgelegt in Gentoo, Linux

Spotify Premium - Ein Erfahrungsbericht

Ohne Kommentare

In der Presse habe ich schon oft von Spotify gelesen. Dabei handelt es sich um einen Audio-Streaming-Dienst, der einem Musik sowohl in einer kostenlosen, dafür aber werbeunterstützten, als auch in einer höherwertigen Bezahlvariante liefert.

Nachdem ich die kostenlose 30-Tage-Premium-Test-Variante wochenlang umkreist habe, entschloss ich mich gestern dazu, den Dienst tatsächlich zu testen. Die Angabe von Bezahldaten (z.B. Kreditkartendaten) sind für den 30-Tage-Test notwendig - das man den potentiellen neuen Kunden hier ans Unternehmen binden möchte und an eine längerfristige Bindung denkt, ist offensichtlich. Nachdem ich den Registrierungsprozess durchlaufen hatte, stand mir der Premium-Service auch sofort zur Verfügung.

Nachdem ich jetzt 24 Stunden mit Spotify rumgespielt und den Dienst erkundet habe muss sagen ... ich bin mittelschwer begeistert. Ich höre relativ viel Musik, gerne auch neue Sachen und erkunde gerne neue Bands, Alben und Stilrichtungen. Bislang musste ich dafür vielfach auf YouTube zurückgreifen, was sich jedoch als relativ umständlich erweist.

Mit Spotify kann man sich einfach CDs als Playlist speichern und sie so in einem geeigneten Audioplayer (hier: Clementine mit Spotify-Plugin unter Linux, sowie der originale Spotify-Client unter Android) oder auch im Webplayer direkt auf spotify.com anhören. Wer nicht ausreichend Bandbreite zur Verfügung hat, um die Songs (unterwegs) fortwährend zu streamen, kann einzelne Songs oder ganze Playlists zur Offlinenutzung markieren. Der Client lädt die Songs dann runter, sodass zum späteren Anhören keine Onlineverbindung mehr notwendig ist. Alle bisher getesteten Varianten unterstützten übrigens das Scrobbling an last.fm.

Ähnlich wie bei last.fm bietet auch Spotify eine Funktion an, die einem passend zum eigenen Musikgeschmack neue Bands vorschlägt, sodass man sich nach einigen Stunden Spotify-Nutzung bequem von Band zu Band hangeln und immer wieder neue CDs an seine Clients senden kann.

Nach dieser kurzen Testzeit kann ich also sagen, dass ich mit Spotify für den Moment sehr glücklich bin. Die 10 Euro, die es mich monatlich kosten wird, sind für die extrem große Musikdatenbank nicht zu viel verlangt und ich erspare mir den Kauf von CDs, die sich im Nachhinein als Flop erweisen, weil zwar ein Song richtig gut war, der Rest aber nichtmal im Hintergrund zu ertragen ist. Und sogar CDs in meinem vom Mainstream abweichenden Musikgeschmack (z.B. The Toten Crackhuren im Kofferraum, Turbostaat und siehe auch mein last.fm-Profil) ist in Hülle und Fülle vorhanden.

Und der größte Kritikpunkt an Spotify, nämlich das einem die Musik nicht gehört und wieder weg ist, wenn man den Dienst kündigt oder dieser die Hufe nach oben reißt, ist für mich keiner, weil ich schon jetzt den ganzen Schrank voller CDs habe, die mir zwar gehören, die ich aber trotzdem wohl nie wieder ziehen werde, weil mir die Musik auf den Keks geht und mich nicht (mehr) interessiert.

Einen weiteren (älteren, aber guten) Artikel zum Thema gibt es bei Nils Schneider zum Nachlesen ....

Und in einem letzten Nachsatz sei noch erwähnt, dass Spotify für mich nur ein Mittel ist um neue Künstler zu entdecken. Wenn mir etwas richtig gut gefällt, werde ich mir die CD-Version davon kaufen und sie im Schrank platzieren.

Geschrieben von cryptosteve | Kommentieren
Translate article to english

12.01.2014 um 18:55:52

Abgelegt in Akustisches, Internet, Linux

»siduction 2013.2« released und mein Ausstieg aus dem Projekt

Ohne Kommentare

Die Jungs von siduction haben siduction 2013.2 mit systemd veröffentlicht. Das Release 2013.2 trägt den Codenamen December und kann ab sofort von den unterstützenden Servern des Projektes heruntergeladen werden.

Mit Ablauf des Jahres 2013 werde ich dann meine Unterstützung für das Projekt auch endgültig einstellen.

Nachdem ich bereits vor einigen Monaten meine aktive Unterstützung aufgegeben und mich aus dem Coreteam und IRC zurückgezogen habe, werde ich nun in Kürze die letzten Dienste vom Netz nehmen. Dazu gehört unter anderem die Abwicklung aller siduction.net-Mailadressen, sowie die seit jeher stiefmütterlich behandelten Mailinglisten. Auch die Mirrorstatistiken sind nie in den Bereich interessanter Berichte gekommen, weil nie eine ernsthafte Anzahl unterstützender Spiegelserver zusammen gekommen ist.

Bleibt mir nur, den Jungs alles Gute für die weitere Zukunft und Erfolg mit siduction zu wünschen.

Geschrieben von cryptosteve | Kommentieren
Translate article to english

31.12.2013 um 13:43:50

in eigener Sache: Twitter-, Gravatar- und flattr-Unterstützung

Ohne Kommentare

Vor einigen Wochen habe ich mich bei flattr.com angemeldet, um einige im Netz gelesene Beiträge zu in besonderem Maße zu würdigen. Von flattr hatte ich bis dato viel gelesen, mich aber nie ernsthaft damit beschäftigt. Das man durch Flattr-Beiträge nicht reicht werden kann, sondern es allenfalls um einen symbolischen Wert geht, ist natürlich klar.

Nachdem ich mich also beim Service angemeldet hatte und erste Beiträge im Netz per flattr honoriert hatte, gefiel mir die Idee so sehr, dass ich in diesem Blog ebenfalls die Möglichkeit bieten möchte. Ich würde meinen gesetzten flattr-Button ja auch gerne selbst mal testen, aber You can not flattr your own thing!. Ist ja auch logisch irgendwie. Es war leider nicht möglich, dass s9y-flattr-Plugin händisch auf eine (vermeintlich) sichere https-Verbindung umzubiegen, sodass ich zunächst manuell einen statischen Button basteln musste. Ein Nachladen unsicherer Inhalte in der ansonsten gesicherten Verbindung erzeugt leider hässliche Hinweise in diversen Webbrowsern, die ich so nicht haben möchte.

Und da ich ohnehin schon gerade am Template gebastelt habe, habe ich gleich noch einen Twitter-Button eingebaut. Nachdem meine Timeline bereits seit einigen Wochen in der Seitenleiste angezeigt wird, habe ich heute noch »Tweet-Me«-Buttons eingebaut, die Kommentarfunktion um Twittereinträge erweitert und die Einbindung von Avataren via Gravatar realisiert.

Dabei ist mir aufgefallen, dass https nach wie vor sehr spärlich eingesetzt wird - schade eigentlich. Ich werde weiterhin vermehrt darauf setzen; sollte das im Nachhinein zu Schwierigkeiten führen, muss ich halt nachbessern.

Wer sich durch die extern eingebunden Dienste übrigens in seiner Privatsphäre beeinträchtigt fühlt, dem empfehle ich das browser-Plugin Ghostery. Damit ist es möglich, alle drei Kandidaten sicher vom Nachladen externer Inhalte abzuhalten. Und wer gerne öfter mal via https unterwegs wäre, dem lege ich an dieser Stelle gleich noch https-everywhere nahe ...

Geschrieben von cryptosteve | Kommentieren
Translate article to english

28.12.2013 um 22:59:43

Abgelegt in in eigener Sache

in the poche - read-it-later-Service selber hosten

Ohne Kommentare

Bislang habe ich keinen read it later-Service gebraucht. Ich habe meine Artikel entweder sofort gelesen, die Browsersitzung bis dahin offen gelassen oder ein Lesezeichen angelegt. Entsprechende Services, wie z.B. Pocket blieben von mir daher vollständig ungenutzt.

Durch einen Beitrag in Caschys Blog bin ich kürzlich jedoch auf poche aufmerksam geworden. Poche ist bislang sicher nicht so vollumfänglich wie Pocket, ist dafür aber OpenSource, deutlicher übersichtlicher und lässt sich problemlos selber hosten. Zudem bleiben die Daten der read-it-later-Historie damit in eigenem Besitz und nicht bei einem weiteren Webdienst.

Zu poche selbst kann im Beitrag von Caschys Blog (Link siehe oben) einiges lesen. Wer Schwierigkeiten mit der (durchaus einfachen) Installation hat, möchte darüber hinaus ggf. einen Blick in Poche das openSource Read it later werfen.

Bei der Installation hatte ich jedoch merkwürdige Schwierigkeiten, die ich heute zu allem Überfluß in Zusammenarbeit mit dem Entwickler nicht mehr nachvollziehen konnte. Da es aber mindestens mindestens einen weiteren User mit dem gleichen Problem gibt, scheint der Fehler aber tatsächlich irgendwo versteckt zu liegen. Wir bleiben da definitiv am Ball.

Übrigens, seit heute ist Poche offiziell in Calibre integriert.

Geschrieben von cryptosteve | Kommentieren
Translate article to english

26.12.2013 um 23:06:33

Abgelegt in Gentoo, Internet, Linux

[WLAN] Werbefilter für Android ohne root

Mit 4 Kommentaren

Ich mag keine Werbung. Sie nervt mich, sie lenkt mich von eigentlichen Inhalten ab und speziell in Apps schreckt es mich ab, wenn ich durch ein versehentliches Klicken auf Werbung aus der App in den Browser gepushed werde. Daher blockiere ich unerwünschte Werbung, wo es nur geht. Das mag man für unsozial halten - wer mit meiner Nutzung Geld generieren will, soll mir die App halt zum Kauf anbieten. Ich bin ein User, der sich bei der Wahl zwischen werbeverseuchter und kostenpflichtiger Angebote immer für die Kostenpflicht entscheiden wird.

Bei Androiden stellt sich im Vergleich zur Computernutzung leider das Problem, dass sich Werbung hier nicht so einfach blockieren lässt. So habe ich meine ersten Androidgeräte grundsätzlich gleich am ersten Tag gerootet und Werbefilter installiert. Von den Gefahren eines Bricks mal abgesehen, nervt das aber zunehmend. Während sich einige Geräte (wie solche der Nexus-Serie) noch ganz passabel rooten lassen, wird bei anderen schon schwieriger und komplizierter. Zudem nimmt die Anzahl ganz unterschiedlicher Devices in unserem Haushalt massiv zu, sodass ich mir da mittlerweile sechs, sieben verschiedene HOWTOs durchlesen muss, um am Ball zu bleiben.

Kurzum: Es gibt Geräte, bei denen ich gerne auf root-Zugriff verzichten würde - nicht nur, weil's umständlich ist, sondern weil damit oft auch die Möglichkeit zu OTA-Updates verloren geht, oder falsche Apps eher Schaden anrichten können.

Um es für die User, die auf der Suche nach einer simplen One-Click-Lösung hier her gekommen sind, gleich vorweg zu nehmen:

Effektive Werbefilter auf dem Androiden direkt ist ohne root nicht möglich. Es gibt ein paar Lösungen, die aber allesamt ihre Schwächen haben. So habe ich beispielsweise in meinen ersten Versuchen allen Traffic durch einen squid-Proxy geroutet. Allen Traffic? Denkste, denn die erweiterten Einstellungen im WLAN-Setup des Androiden beziehen sich trotzdem nur auf die Webbrowser. So ist man beim Surfen zwar einigermaßen werbefrei, in diversen Apps blinkert es aber trotzdem fröhlich vor sich hin.

Die einzig passable Möglichkeit, um Werbung aus dem Androiden rauszuhalten, ist, die zugrunde liegenden Hosts zu blockieren. Hier kommt als Router eine Fritzbox 7270v2 zum Einsatz. Die /etc/hosts ist dabei leider nicht so ohne weiteres abzuändern. Es gibt zwar Möglichkeiten, auf die Fritzbox schreiben zuzugreifen, aber das ist nicht nur umständlich, sondern auch nicht ganz ungefährlich. Ein Fehler im Setup hindert die Box schnell mal am Hochfahren. Den darauf folgenden Reset der kompletten Box würde ich mir gerne ersparen. Zudem soll die hosts-Datei in der Fritzbox aus der Konfiguration zur Laufzeit generiert werden - Änderungen an der /etc/hosts würden damit bei jedem Neustart überschrieben werden.

Bliebe also lediglich, die Kindersicherung der FritzBox zu bemühen und die dortige Blacklist mit passenden Einträgen zum Werbefilter zu füllen. Von der Idee her ist das nicht schlecht und funktioniert in der Praxis auch ganz gut. Aber die Anzahl der möglichen Einträge in der Blacklist sind doch arg begrenzt, sodass dies als umfassender Filter leider überhaupt nicht zu gebrauchen ist.

Das nachfolgende Setup ist also umfangreicher und benötigt neben einem Router mit freier DNS-Wahl auch einen PC, der zum Zeitpunkt des Internet-Zugriffs läuft. Gegeben sind hier neben der FritzBox 7270v2 als Router ein Heimserver basierend auf Gentoo Linux und net-dns/pdnsd als DNS-Proxy. Sicherlich gehts auch mit anderen Betriebssystemen, anderen Rechnern und anderer Software. Als Rechner würde sich statt einem größeren Heimserver beispielsweise ein Raspberry Pi anbieten.

Die Grundidee meines Setups ist folgende: die Clients wenden sich für die Namenauflösung an die FritzBox, diese nutzt als DNS-Server den lokalen Heimserver und hier antwortet ein pdnsd auf Anfragen, nachdem er bestimmte Anfragen - nämlich solche an Werbeserver - negiert.

Der Einfachheit halber versorgen sich meine Clients durchweg via dhcp. Für die Namenauflösung wenden sie sich also alle an die Adresse der FritzBox. Hier trage ich unter den Heimserver als freien DNS-Server ein:


Werbefilter Android ohne root
Einstellungen zum alternativen DNS-Server in der Fritzbox


Der Heimserver läuft unter Gentoo, die Installation und Konfiguration von pdns ist in diesem Artikel im Gentoo-Forum ausführlich beschrieben. Ich weise an dieser Stelle darauf hin, dass die Server der German Privacy Foundation nicht mehr ordnungsgemäß laufen und man daher in der pdnsd-Konfiguration auf andere DNS-Server ausweichen sollte.

Nachdem pdnsd ordnungsgemäß aufgesetzt wurde, fehlen natürlich noch die Einträge für die Werbefilter. Hierzu kann man sich auf pgl.yoyo.org passende Listen für diverse Programme, unter anderem pdnsd, zusammenstellen lassen. Das fertige Snippet sieht dann so aus.

Nachdem das o.g. Filtersnippet zur pdnsd.conf hinzugefügt wurde, muss die Konfiguration neu geladen werden. Damit sollte der Heimserver die Namenauflösung für die FritzBox übernehmen und die Werbeserver aus der Namenauflösung herausfiltern. Alle angeschlossenen Clients sind damit von den in der pdnsd.conf negierten Servern befreit und ungerootete Androiden zeigen fortan keine Werbung mehr an.

Das ganze gilt natürlich nur, solange man sich im heimischen (W)LAN befindet. Für 3G-Verbindungen von unterwegs oder in fremden Drahtlosnetzwerken ist die Variante mit gerooteten Devices nach wie vor erforderlich.

Geschrieben von cryptosteve | Kommentieren
Translate article to english

18.09.2013 um 21:00:00