trueten.de

Kurze aber wichtige Durchsage: Telegram wurde letztens gehackt, (Telegram Combolists) dabei sind 361,468,099 Passwörter usw. erbeutet worden. Bitte ändert das Passwort (Menü/Privatsphäre und Sicherheit/zweistufige Bestätigung und dort auf zusätzliches Passwort erstellen). Am besten per Keepass(XC),  KeePassDX (Android) oder Keepass2Android oder bei IOS KeePassium, Strongbox oder ähnlichem Passwortsafe ein sicheres Passwort erstellen und dort einsetzen. Speichern in Keepass nicht vergessen! Darüber hinaus ist es eine gute Idee, bei https://haveibeenpwned.com nach eigenen Daten (Mail, Telefonnummern etc.), die in Hacks auftauchen nachzuschauen und sich auch bei Neuentdeckungen benachrichtigen zu lassen.

Das Telegram seine Benutzer nicht aktiv per Systemnachricht über das Sicherheitsleck informiert hat, ist dann auch nochmal ein ganz anderes Thema...

---

Weil man in den zahlreichen Anleitungen, wie man ethercalc mit nginx hinter einen Reverse Proxy setzt nicht enthalten ist, wie auf man diesen SSL verschlüsselt zugreifen kann dachte ich mir, ich mach das und blogge das auch gleich mal. Erstens weil ich ein Gedächtnis wie ein Sieb habe, zweitens als Fingerübung und drittens, weil das vielleicht jemand brauchen kann. Als SSL Zertifikat verwende ich das freie von Let's encrypt.

Die "# managed by certbot" Zeilen werden durch den certbot automatisch hinzugefügt. Also diese nicht einfach kopieren ;-) Die Konfguration in dem Beispiel setzt weiterhin voraus, daß ethercalc bereits installiert ist und auf Port 8000 lauscht. Zudem ist eine (sub)Domain ethercalc.domainname.de angenommen. Diese ist durch die eigene Domain zu ersetzen.

Zum Herumspielen habe ich hier einen ethercalc Server aufgesetzt. Nach 144 Stunden = 6 Tagen werden inaktive Spreadsheets gelöscht - also vorher lokal sichern!
Für die Aufrechterhaltung, Pflege und Datensicherung gebe ich keinerlei Gewähr!

Bei mayfirst.org ist eine virtual host Konfiguration verfügbar.

upstream ethercalc {
  server 127.0.0.1:8000; # Auf Port 8000 lauscht in diesem Beispiel ethercalc
}

server {
    server_name ethercalc.domainname.de;

    location / {
        proxy_pass http://ethercalc/;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_set_header Host $http_host;

        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forward-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forward-Proto http;
        proxy_set_header X-Nginx-Proxy true;

        proxy_redirect off;
    }

    listen 443 ssl; # managed by Certbot - über diesen Standard port für https ist der Reverse Proxy erreichbar
    ssl_certificate /etc/letsencrypt/live/ethercalc.domainname.de/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/ethercalc.domainname.de/privkey.pem; # managed by Certbot
    include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

}

server {
    if ($host = ethercalc.domainname.de) {
        return 301 https://$host$request_uri;
    } # managed by Certbot

    listen 80;
    server_name ethercalc.domainname.de;
    return 404; # managed by Certbot

}

Ich freue mich über eine Unterstützung via Paypal über Liberapay oder auch ein paar Satoshis an: bc1qgthwzrszw48lw9jl8zjg94fp6w6xfkw0929vg0

---

Bis vor ein paar Tagen ging ich davon aus, daß bei Browsern auf mobilen Endgeräten, sei es unter Android oder IOS, keine Addons oder zumindest nur wenige installiert werden können. Eine Bekannte hatte mich wegen der beliebten "Nervenschoner" Erweiterung gefragt. Wegen der Hinweise auf den Seiten der Verbraucherzentrale Bayern wähnte ich mich jedenfalls im Recht. Dort heißt es klar:

Mobile Geräte

Das Nervenschoner-Plugin gibt es leider nicht für mobile Geräte.

Google und Apple haben die Standard-Browser ihrer Betriebssysteme Android und iOS für Plugins gesperrt.

Allerdings, meinte die Bekannte, ein befreundeter IT Mensch würde das Gegenteil behaupten. Kannnichsein. Also habe ich mich auf die Suche gemacht und was soll ich sagen: Es ist möglich, allerdings wohl nur mittels der Firefox-Nightly unter Android. Für IOS habe ich leider noch keinen freien Slot für eine Testflight Version von Firefox bekommen, daher kann ich hierzu nichts abschließendes sagen. Lange Rede, kurze Lösung: @DreQueary zeigt in diesem Video, welchen Weg er eingeschlagen hat. Er verwendet dazu "Firefox-Nightly" aus dem Google App Store.

---

Ich habe mitgeschrieben: Sobald Du Firefox Nightly heruntergeladen hast, tippst du auf die Drei Punkte im Programmfenster unten rechts. Gehe dann auf Einstellungen und dann scrollst Du ganz nach untern auf den Bildschirm, bis "Über Firefox Nightly". Antippen. Dann erscheint ein Versionshinweis mit dem blauen Firefox Logo. Tippe das 4 oder 5x an, bis eine Meldung erscheint, nachdem Du im Entwicklermodus bist. Danach startet Firefox Nightly neu, falls nicht kehrst Du zum vorigen Fenster zurüück.

Als nächstes benötigst Du einen Account bei Mozilla, um eine Add-on-Sammlung anlegen zu können, auf die Firefox dann zugreifen kann. Wenn Du Dich registriert hast, klickst du hier.

Gib der Sammlung einen beliebigen kurzen Namen, ein paar Zeichen, z.B. Test reichen. eine Beschreibung ist nicht nötig, einfach das Anlegen der Sammlung bestätigen, in der dann erscheinenden Eingabemaske dann den Namen des gewünschten Add-ons eingeben, in diesem Fall "Nervenschoner" und dann in der erscheinenden Liste das Add-on anklicken. Es erscheint dann folgender Bildschirm:


Die Sammlung ist mit diesem Plugin angelegt. Merke Dir Deine Sammlungsnummer, die Du gleich brauchst - im Beispiel gelb markiert (18047646). Nun wieder zum Browser. Sobald Firefox Nightly neu gestartet ist, gehst Du wieder über die 3 Punkte auf Einstellungen. Scrolle dann den Bildschirm runter, bis "Benutzerdefinierte Add-on-Sammlung" erscheint. Tippe das an. In das erscheinende Menü gibst Du ein:

(1. Zeile:) 18047646
(2. Zeile:) Test

Dann auf Ok. drücken. Firefox startet neu.

Dann kannst Du im Einstellungsmenü von Firefox-Nightly das ausgewählte Add-on aktivieren. Tippe dazu Auf Add-ons. Wenn Du auf den Add-on Namen tippst, kommst Du in die Einstellungen des jeweiligen Add-ons und kannst da herum erxperimentieren.

Kaputtmachen kannst du nichts.  Du kannst den Firefox Nightly auch als Standardbrowser einstellen, das geht auch über die Einstellungen im Programm.

---

Der Facebook / META Konzern möchte mit dem #Projekt92 / #Barcelona / #threads.* an das Fediverse andocken. Erste Domains sind offenbar threads.net. (Wir verzichten auf die aktive Verlinkung) Nachdem zahlreiche Admins inzwischen erklärt haben, alle diesbezüglichen Aktivitäten und Domains zu blockieren, gibt es eine Sammlung von suspekten Facebook / META / threads Domains zum Download und anschließenden Import bei Mastodon. Wäre per regex sicher kürzer geworden, aber was soll's. Die Liste wird gepflegt und erweitert.

Die Vernetzung mit Meta soll nicht mehr automatisch erfolgen, sondern man kann sich jetzt dafür entscheiden, seinen Server mit "finanziellen Anreizen" mit Meta zu verbinden, wenn er "groß genug" ist.

Trotzdem lohnt es sich, diese Domains und IPs zu blockieren, nur für den Fall, dass sie es sich anders überlegen und um zu verhindern, dass META den Server ohne Zustimmung oder die der Nutzer:Innen ausspionieren.

Mehr dazu in diesem thread.

Wir sind seit dem 19. Juni 2023 im FediPact dabei und seit heute werden die og. Domains blockiert.

We block´d the #Barcelona Project aka threads.net and threads.instagram.com. We don‘t allow any #Facebook or #Instagram shit pollution at our #Instance.

If you are looking for a new home (instance/server) due to the whole Bruhaha over the #Meta move on the Fediverse, here is a link to the instances where you will be safe:

https://fedipact.online/

#FediBlockMeta #Meta #Project92 #Threads #Barcelona #Mastodon #FuckMeta

---

Immer dann, wenn mir langweilig ist, schaue ich mal in den Spamordner. Neulich trudelte eine recht gut gemachte Mail rein, die von der Kreissparkasse zu stammen scheint. Allerdings mit zwei entscheidenden Fehlern: Weder habe ich ein Konto bei dieser Bank, noch heiße ich so, wie ich in der Mail angesprochen werde. Von der Absenderadresse, die nicht gefälscht war über die Metadaten der Mail (Hearder usw.) oder die Links, auf die darin verwiesen wird, will ich gar nicht erst anfangen:

Also gut, nach dem Klick auf "Weiter zur Kontrolle" geht es weiter im Browser:

Im weiteren Verlauf habe ich mal ein paar Phantasiedaten eingegeben, die auf den ersten Blick genau so plausibel erschienen wie diese Phishing Webseite und den ganzen Registrationsprozess durchlaufen. 

Das Ende vom Lied: 

Ein wiederholter Aufruf der Seite ist dann nicht mehr möglich, weil die Tracking Url, die durch das Anklicken des "Weiter zur Kontrolle" in der oben genannten email gesetzt wurde, eindeutig mit der Mailadresse an die die Mail ging, verbunden war. Mehr brauchten die Scammer nicht, um durch die Befragung Online-Banking-Zugangsdaten, Geburtsdatum, Telefonnummer sowie die Daten der Sparkassen-Card zu erfahren. In meinem Fall mit fiktiven Daten. Bis auf die Telefonnummer des BKA, die ich zur schnelleren Bearbeitung eventueller Nachfragen angegeben habe...

Dank eines Hinweises wurde ich auf einige Fehlermeldungen in unserem Blog aufmerksam, die ich beim kürzlichen Upgrade von Serendipity auf die aktuelle Serendipity 2.4-beta1 übersehen hatte. Im Nachhinein stellt sich dieses für mich jedenfalls ordentlich verbuggt dar.: Verschiedene Plugins laufen nicht, weshalb es vorerst unter anderem keine Kommentare mehr gibt, die dargestellt werden und auch keine Social Media Buttons unter den Beeiträgen. Da auch diverse css Sachen ins Leere laufen, bin ich vom Bootstrap Theme wieder auf 2k11 zurück.
 

Wir betreiben ab sofort auch eine eigene Mastodon Instanz: mastodon.trueten.de Momentan ist dort alles im Testlauf. Man kann sich aber schon registrieren und herumspielen. Bis auf weiteres bin ich selbst bei suma-ev.social aktiv. 

In den nächsten Tagen wird es eventuell zu mehr oder weniger kleinen Störungen im Blog kommen. Grund ist ein Update der Blogsoftware sowie der PHP Version.