Technik

Wie Ihr ja sicher schon gelesen habt, ist meine Mutter selbstständig und hat daher auch eine Webseite. Der Einfachkeit halber wurde das damals mit WordPress realisiert und auch in der Vergangenheit bereits gehackt (wenn auch geskriptet).

Kein gezielter Angriff

An dieser Stelle sei noch einmal erwähnt, dass ich ungerne sage, dass die Seite gehackt wurde, weil das der Sache nicht ganz gerecht wird und zu nebulös ist. Vor allem vermittelt es dein Eindruck, dass es sich um einen gezielten Angriff handeln würde. Oft muss ich dann erst einmal erklären, dass da nicht jemand in seinem Keller saß, einen Hoodie trägt und sich vor nimmt, gezielt Webseiten anzugreifen. Viel eher sind es einfach Skripte (also Computerprogramme) von teilweise sogenannten Skript Kiddies, die automatisiert und wahllos auf bekannte Schwachstellen losgelassen werden und dann dort ihr Werk verrichten. Leider ist WordPress voll mit bekannten Schwachstellen, auch wenn man es regelmäßig aktualisiert.

Hin und wieder helfe ich einigen Leuten in meinem Umfeld beim Aufsetzen und Warten ihrer Internetseiten. So gucke ich immer wieder mal über die WordPress-Installation meiner Mutter und stelle sicher, dass sie auch ja alle Updates installiert hat. Einigen von euch stellen sich die Nackenhaare beim Namen Wordpress wahrscheinlich schon auf (so geht es mir auch immer wieder), aber am Ende bin ich da nur die ausführende Kraft. Um das einmal klarzustellen: WordPress ist ein einziges Sicherheitsrisiko. Das verwundert natürlich nicht, wenn man bedenkt, wie weit verbreitet die Software ist. Sieht man aber einmal in den Code erkennt man, dass es bei der Entwicklung kein wirkliches Konzept gegeben hat oder es maximal versucht wurde nachträglich einzubauen. Da es sich aber mit seinen ganzen Erweiterungen um ein Gemeinschafts-Projekt handelt, ist es natürlich auch gar nicht so einfach, einheitlichen und guten Code zu schreiben. Abe rich wäre ja schon zufrieden, wenn die Datenbank-Verbindung nicht in einer globalen Variabel von überall aufzurufen wäre.

Vor einigen Monaten schrieb ich, dass die OTRS AG den Support für die Community Edition nicht mehr weiter führt. Um genau zu sein: Die OTRS AG wollte die CE-Versionen immer mit zwei Jahren Verzug veröffentlichen. Laut diesem Vorhaben, hätte im Dezember die erste 7er Version kommen müssen. Stattdessen gab es ein sehr kurzfristiges Statement, dass das Ende verkündet. Mehr Details findet ihr im entsprechenden Blog-Eintrag.

Da sich nach meinem Beitrag die unterschiedlichsten Leute gemeldet haben (Nutzer und Admins), sollte ich den aktuellen Stand bekannt geben. Auch wenn das alles genau so gut in den offiziellen Quellen nachgelesen werden kann. Znuny hatte noch im Januar angekündigt, eine LTS-Version der Community Edition für mindestens zwei Jahre weiter zu führen und die Nutzer (also unter Anderen auch mich) so weiter mit Sicherheitsupdates zu versorgen.

Durch das neue Infektionsschutzgesetz des Bundes sind nun doch die nächtlichen Ausgangssperren auf Kreisebene gekommen. Da es zu meinen Hobbys gehört, am späten Abend oder auch in der Nacht eine Runde mit dem Auto zu drehen, ist es für mich also sehr interessant zu wissen, ob aktuell eine AUsgangssperre besteht oder nicht. Gerade auch weil ich in einer Gegend wohne, in der drei Landkreise mit völlig unterschiedlichen 7 Tages-Inzidenz-Werten aufeinander treffen. Münster hat am Wochenende beispielsweise schon wieder seine Außengastronomie öffnen können. Kreis Coesfeld ist eines der Modell-Regionen für die Öffnungen nach der Pandemie. In Kreis Steinfurt hingegen ist die Infektionszahl generell höher - einen wirklichen Grund dafür kenne ich nicht.

Das Ticket-System OTRS wird weltweit viel für die Kommunikation zwischen Firmen und Kunden eingesetzt. Außerdem setzen es auch Hochschulen wie unsere ein, um einen einheitlichen Kommunikationsweg zu den Studierenden, Mitarbeitenden und Außenstehenden zu pflegen. Bei uns bin ich unter Anderem Serveradministrator und habe die ein oder andere Erweiterung für das System entwickelt.

Spontanes End Of Life

Einer der (aus meiner Sicht) großen Vorteile von OTRS ist die Tatsache, dass es Open Source ist. Das bedeutet, der Code ist offen und kann von jedem eingesehen und sogar verändert werden. Wäre es Closed Source, hätte es mir das Erstellen eigener Erweiterungen damals erschwert, vermutlich aber eher (aus rechtlicher Sicht) unmöglich gemacht. Inzwischen bietet die OTRS AG eine kostenpflichtige und eine kostenlose Community Version an. Angekündigt wurde damals, dass die CE-Version zwei Jahre nach der EE veröffentlicht werden sollte. An Weihnachten kam dann nun aber die Nachricht, dass die aktuelle CE 6 Version am 1. Januar EOL erreichen würde und daher keine Sicherheitsupdates mehr kommen. Man solle so schnell wie möglich die Version wechseln. Der Witz dabei ist aber, dass die neuere CE Version 7 noch gar nicht veröffentlicht wurde und ein Update daher gar nicht möglich ist. Würde die OTRS AG sich an die besagten zwei Jahre halten, hätte schon im November die neue Version veröffentlicht werden müssen.

Zu diesem Weihnachten gabe es eine Reihe von Geschenken. Unter anderem zum Beispiel ein cooles Poster von “Haus des Geldes” in der originalen Spanischen Sprache, aber eben auch eine Mini 2 Drohne von DJI. Laut vielen Reviews im Netz ist das wohl die perfekte Einsteigerdrohne, da sie gut bedienbar ist, aber auch einige Automatismen für vorprogrammiere Shots hat.

Neue EU-Richtlinien am 2021

Passend zum neuen Jahr trat die neue EU-Regelung für Drohnenflüge in Kraft. Da ich mich natürlich an alle Gesetze halten werde, habe ich der Drohne direkt ein Nummernschild mit meinen Kontaktdaten spendiert. Glücklicherweise schließt meine Haftpflichtversicherung Drohnen bis zu einem Gewicht von 2kg mit ein, weswegen ich keine neue Versicherung abschließen musste. Bei Drohnen verhält es sich genau wie bei Autos: Jeder Verkehrsteilnehmer muss versichert sein, damit im Falle eines Unfalls der Schaden bezahlt werden kann. Wer weiß schon, in was für ein Haus oder Autodach man fallen könnte.

Der Vertreter

Vor zwei Monaten klingelte es an unserer Tür. Ein Vertreter der Deutschen Glasfaser (Anbieter von Glasfaser-Anschlüssen bis nach Hause) wollte uns etwas verkaufen. Natürlich kauft man nichts an der Haustür, weil das unseriös ist. Es klingt wie eine faule Ausrede, aber der Vertreter machte seinen Job gut und erzählte uns auch, dass er die Haushalte im Ort abklappern würde, die weder ja oder nein zu einem Glasfaser-Anschluss gesagt haben. Und wenn es die Möglichkeit gibt, dass wir mit bis zu 1GB/s ans Netz angeschlossen werden, bin ich immer erst positiv eingestellt.

Nach einiger Zeit (wobei ich gar nicht genau weiß wie lange) war es meiner Meinung nach mal wieder an der Zeit für einen neuen Look meines Blogs. Als erstes sollte auffallen, dass nun alles dunkel ist. Somit sind nun nicht mehr nur die IDEs und Terminals in denen ich arbeite dunkel, sondern auch endlich mein Blog.

Schlicht

Viel wichtiger ist mir persönlich aber, dass noch immer alles übersichtlich aussieht - was ich glaube ich geschafft habe. Ich mag keine Webseiten, auf denen blinkende Anzeigen oder große Grafiken die Aufmerksamkeit auf sich ziehen und vom eigentlichen Inhalt ablenken. Außerdem hatte ich vorer Frameworks wie zum Beispiel Bootstrap oder FontAwesome im Einsatz. Die ermöglichten mir zwar einen einheitlichen Weg für Erweiterungen und nette Icons, allerdings fraßen sie auch viele Ressourcen, was ich eigentlich vermeiden wollte. Als ich im Laufe dieser Woche dann in der Google Search Console gesehen habe, dass noch einiges rauszuholen ist, habe ich mir vorgenommen das auch so zu machen.

Was ist ein FinFisher?

FinFisher (FinFisher GmbH) ist der Name einer Software-Firma, die beispielsweise auch die gleichnamige Spionagesoftware FinFisher geschrieben hat und vermarktet. Interessant ist diese Firma, da sie beispielsweise den Staatstrojaner für das BKA entwickelt hat aber auch andere Spionage-Tools im Ausland u.A. für die Türkei einsetzt. Dafür wurde das Unternehmen auch schon mehrfach öffentlich kritisiert, eine Reaktion darauf gibt es aber (logischer weise) nicht darauf.

Unterlassungserklärung für Netzpolitik.org

Spätestens seit #Landesverrat ist Netzpolitik, was ursprünglich als Blog begonnen hatte, relativ bekannt geworden. In den großen Medien hat man danach leider nicht mehr so viel von ihnen mit bekommen, obwohl sie noch immer gute Arbeit leisten und als geheim eingestufte Dokumente veröffentlichen. Oft denke ich mir, dass einige Artikel viel mehr Aufmerksamkeit erlangen sollten. Seit langer Zeit berichtet Netzpolitik dabei auch schon über den deutschen Staatstrojaner und besagte Herstellerfirma FinFisher. Ein vor knapp einem Monat veröffentlichter Artikel gefiel FinFisher wohl nicht so recht, weswegen sie eine Unterlassungserklärung auf den Weg brachten. Auch wenn Netzpolitik das so nicht akzeptiert, droht wohl eine einstweilige Verfügung zu kommen, weswegen der besagte Artikel vorsorglich offline genommen wurde.

Vor über einer Woche ist mir mein Xiaomi Redmi 5 Plus auf die Straße gefallen. Eigentlich ist das kein Problem, weil es bis dato immer (zumindest für mich) als relativ robust galt. Aber nun war es wohl doch so weit, dass mir der Display kaputt gehen musste. Glücklicher weise funktioniere der Display noch und auch die Touch-Funktion lief einwandfrei. Allerdings wollte ich dieses mal nicht (wie beim letzten Handy) ein Jahr lang mit kaputtem Display herum laufen, weswegen ich entschloss, mir eine Schutzhülle und ein Reparatur-Set auf Amazon zu kaufen. Wie ich gerade gesehen habe, sind die Preise seit dem schon wieder um mehr als 10 Euro gestiegen. Nach nur zwei Tagen kam das Päckchen bei mir an und ich freute mich schon, endlich den Display austauschen zu können. Prinzipiell war ich überrascht, dass das überhaupt möglich ist, da heutzutage alle Geräte verklebt werden, was die Reparatur nahezu unmöglich macht.