10
Jun 18

HSTS und nur noch HTTPS / Privacy Checker

Durch einen Beitrag im Netbib Weblog bin ich jüngst auf den Webseiten-Privacy-Checker von dataskydd.net aufmerksam geworden. Beflügelt durch die erfolgreiche Verlängerung der Letsencrypt-Zertifikate, welche ich seit drei Monaten nutze, war ich motiviert auch andere suboptimale Zustände zu beheben.

So war der Blog bisher auch ohne Verschlüsselung erreichbar. Und auch die HTTP Strict-Transport-Security-Angabe (HSTS) war bisher nicht gesetzt. Ich zweifelte zuerst, ob ich diese Einstellung in meinem Hosteurope-Webpack tätigen kann. Glücklichweise zu unrecht. Dank eines Blogeintrages von Janiczek habe ich die Verbesserung dieses Aspektes mit einem simplen Copy&Paste in die .htaccess-Datei erreicht.

RewriteEngine on
RewriteCond %{HTTPS} !on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
</IfModule>

Jetzt wurmen mich nur noch ein wenig die Grafiken, die WordPress von seiner eigenen Domain aufruft (s.w.org). Diese sind z.Zt. zwar nur in drei Dateien verlinkt (wp-admin/about.php, wp-includes/formatting.php und wp-includes/general-tempate.php 1) - dennoch ist eine manuelle Anpassung nicht meine favorisierte Lösungsmöglichkeit. Einfache Wartung und so... Da ich zur Zeit keine Emojis einsetze und der Admin-Bereich meine Privatsache ist, werde ich es wohl auch erst mal dabei belassen.

  1. Analyse mit Hilfe von Notepad++ und der "rekursiven Suche in einem Verzeichnis"-Funktion - sollte mir wohl mal den find-Befehl unter Windows näher anschauen[]

24
Mrz 18

Ein ordentliches Zertifikat

Das war schon länger überfällig. Nun habe ich also endlich die passenden Zertifikate für meine aktiven Domains erstellt mit Hilfe von Let's Encrypt.

Dafür musste für mich als oller Windows-Nutzer erst mal eine funktionierende Linux-Maschine in der Virtuellen Box her. Und dann der Certbot. Zusammenbasteln des benötigten Befehls, sudo certbot --manual certonly, und nach einigen kleinen Hürden - Berechtigungen 1 und angestaubtes Terminal-Wissen 2 - landeten die benötigten Dateien dann tatsächlich in der Zertifikats-Administration von Hosteurope 3. Juchuh.

Beim Verifizieren der Weblog-Domains scheiterte ich jedoch mit dem zu schnellen Griff nach Strg+C - sehr fatal im Terminal - und erinnerte mich an ein Script, dass ich wenige Minuten zuvor auf einer als "nicht meine Frage beantwortende"-Seite gesehen habe: hosteurope-letsencrypt von Sebastian Stein zu meiner Rettung.

Also schnell git installiert, das Repository geklont, die 3 Einstellungsdateien erzeugt, das Erzeugungspython-Script ausgeführt und die relevanten Dateien anschließend hochgeladen, Fertig.

Update: Okay, das war doch noch nicht alles. Mit Hilfe von Search & Replace mussten noch sämtliche URLs auf Bilder und andere Resourcen im Blog von http auf https geändert werden. Ich hoffe, ich habe jetzt alle erwischt.

 

  1. Wie kommt ein Nutzer noch mal in eine Gruppe? sudo usermod -a -G groupName userName[]
  2. Wie kopiere ich nicht den symbolischen Link sondern die Datei dahinter? -L[]
  3. Zertifikat : fullchain.pem, Key: privkey.pem[]

19
Jun 14

Gelesenes - 18. Juni 2014

  • ZEIT 13/2014: "Wenig ist genug", Maike Brzoska (31.3.2014)
    Über freiwilligen Konsumverzicht / Minimalismus. Zusammenfassung zum Thema, leider ohne Links nach draußen. Ist ja auch komplett unnötig ;).
  • ZEIT 24/2014: "Jugend ohne Sex", Malte Henk (13.06.2014)
    Die Inspiration zum Artikel (The Guardian: "Why have young people in Japan stopped having sex?", Abigail Haworth (20.10.2013)) wird wenigstens verlinkt. Ansonsten wären hier Quellen zu Behauptungen/Thesen/Studien schön gewesen. Erinnerte mich daran, dass ich das erste Mal in DE:BUG über Hikikomori las. Auch NEETs genannt (via Eden of the East). Eher trauriges Thema. Ebenfalls Lektüre im Englisch-Unterricht: The Economist "Generation jobless", ? (27.4.2013)
    Wenn mal etwas Zeit zur Recherche bleibt, würde mich mal interessieren, wie es inzwischen aussieht. Sollte es überhaupt möglich sein, ein unbeeinflusstes Bild zu erhaschen.
  • Politik-Digital: "Balance zwischen Privatsphäre und Sicherheit - Geht das?", Anne Korn (16.6.2014)

    "[…] “wer nichts zu verbergen hat“, auch nichts befürchten müsse.[…] Schaffen wir also die Privatsphäre ganz ab und installieren in jedem Wohnzimmer eine Kamera - nur für den Fall, dass die dadurch gewonnenen und abgespeicherten Videos irgendwann einmal zur Terrorabwehr wirksam werden könnten."

    Mit Tablets, Smartphones und Co wäre dies doch schon in gewissen Umfang verwirklicht ... oder doch nur eine Verschwörungstheorie… ?
    Erinnert mich an die BMFSFJ Webcamsticker-Aktion.

  • OpenSource.com : "The value of open data in academic science", Wilma van Wezenbeek (16.6.2014)
    Über das Projekt 3TU.Datacentrum (TU Delft Library, TU Eindhoven, TU Twente)
  • Jakoblog : "Open-Access im (Neuerwerbungs)regal", Jacob Voß (16.6.2014)
    Aufwerfen der interessanten Frage, ob OA auch in gedruckter Form bereitgestellt werden könnte/sollte/wird. Bringt mich schnell zum Thema des Verknüpfens der virtuellen Inhalte und der physischen Welt.