Durch das Neuaufsetzen meines Telefons hatte ich auch die App für Zwei-Faktor-Authentifizierung verloren. Ein Backup hatte ich nicht angelegt, weil ich keine Informationen auf meine Telefon speichere, auf die ich nicht auch verzichten könnte. So dachte ich zumindest. Denn als ich mich bei Github einloggen wollte, fragte mich der Dienst nach dem aktuellen Zwei-Faktor-Code in dessen Besitz ich nicht mehr war. Für solche Fälle gibt es eine Art zweites Passwort, was Github einen mit Aktivieren der Zwei-Faktor-Version mitteilt. Doch diesen Code konnte ich ebenfalls nicht finden.

Daraufhin schaute ich in der FAQ nach, ob ich nicht einen weiteren Weg finden könnte. Normalerweise sollte es da etwas geben, denn sein Passwort kann man ja ebenfalls wiederherstellen. Doch: nichts. Eine Telefonnummer habe ich nicht hinterlegt. So langsam schrieb ich mir meinen Account ab. Den private Key für die Quelltextverwaltung habe ich zwar noch und kann Commits pushen, aber neue Repositories lassen sich so nicht anlegen und Tickets lassen sich auch nicht bearbeiten.

Ohne große Erwartungshaltung schrieb ich deswegen dem Support und schilderte, dass ich zwar keine Zwei-Faktor-Möglichkeit mehr habe, aber noch meinen private Key, vielleicht kann man da was machen: einen Commit mit einer vorher festgelegten Zeichenkette pushen zum Beispiel.

Nach dem Absenden dauerte es keine zwei Minuten, dann klingelte mein Mailprogramm. Github hat geantwortet. Ein Mitarbeiter schilderte mir, was ich zu tun habe um ihm zu beweisen, dass ich berechtigt bin. Danach würde er die Zwei-Faktor-Authentifizierung abschalten können.

Ich befolgte die Schritte und antwortete auf die Mail. Wieder erhielt ich sehr schnell eine Antwort (mein Mailprogramm piepte nach ca. 10 Minuten bei IMAP, die Mail war aber auf eine Minute nach meine Antwort datiert). Ich könne mich jetzt normal einloggen.

Das war dann doch etwas komisch, auf positive Weise. War es ein gut programmierter Supportbot der einfach nur Standardantworten versendet und Aktionen macht anhand von Textanalyse? Oder war es ein Mitarbeiter der einfach sehr schnell ist? Letzteres habe ich bisher nicht in Verbindung mit Kompetenz feststellen können. Wer auch immer mir da wirklich geholfen hat, das war der im Verhältnis zu aufgewendeten Zeit bisher absolut kompetenteste Support. Und das bei einem Dienst, den ich kostenlos nutze, da ich keine privaten Github-Repositories benötige. Wow!

[Update 05.08.14 8:35 Uhr]

Angestellte des Hosters meines Servers drohen damit, mich ein bis zweimal wöchentlich morgens anzufragen ob alles in Ordnung ist. Es sei an dieser Stelle erwähnt, dass netcup ebenfalls einen hervorragenden Support hat, der definitiv nicht auf Support Bots aufbaut. Dies nicht zu erwähnen war ein Versehen und keineswegs despektierlich gemeint. Lasst mich schlafen! ;)

Smart Youtube PRO mit SSL-Verschlüsselung nutzen

Von Mainboarder am 29.07.2014 veröffentlicht
Tags: , ,

Das Plugin Smart Youtube PRO unterstützt von Haus aus keine SSL Verschlüsselung. Das ist ärgerlich, wenn ein Video in einem Beitrag eingebunden wird, aber durch Browser geblockt wird, weil die Inhalte nicht über eine SSL verschlüsselte Seite geladen werden.

Um das zu beheben, habe ich mal in das Plugin geschaut. Hier ist das Protokoll hardcoded als http:// hinterlegt. An sich ist das gar nicht mal weiter schlimm, wenn es standardmäßig SSL wäre. Es ist nämlich davon auszugehen, dass Youtube in nächster Zeit den SSL-Support nicht einstellt und wer eine Seite ohne SSL-Verschlüsselung aufruft, bekommt dadurch dennoch keine Probleme.

Deswegen habe ich das mal geändert, den Autor benachrichtigt und stelle das angepasste Plugin hier zur Verfügung (allerdings geht dann auch nur Youtube mit SSL, kein Metacafe oder ähnliches):

Download entfernt. In der aktuellen Version sind die Änderungen eingepflegt.

Auf dem Fahrrad sind mir Wahlplakate an Laternen aufgefallen. Besonders die der FDP. Hier steht in schwarzer Schrift auf gelben Untergrund: “Sachsen ist nicht Berlin”. Dazu noch ein paar schwarze, diagonale Streifen. Mehr scheint es nicht zu geben.

Was wie ein Baustellenplakat daherkommt, ist tatsächlich Wahlwerbung. Ich glaube, dass die FDP denkt damit Stimmen gewinnen zu können.
Sachsen ist nicht Berlin. Das mag stimmen, aber was hat das politisch zu bedeuten? Was sagt das über die sächsische FDP aus?

Seit über einem Jahr brodelt ein so nie dagewesener Kampf um die Freiheitsrechte und die Demokratie. Radikale Überwacher, für die Gesetze nur Buchstaben auf Papier sind, hebeln das Grundgesetz aus. Die Freie Demokratische Partei wirbt für sich mit: “Sachsen ist nicht Berlin”.

In Berlin sitzt die CDU auf der Regierungsbank und versucht Snowden daran zu hindern in Deutschland vernommen zu werden. Generell reagiert diese Partei nur, wenn sie selbst etwas direkt betrifft: das Handy von Frau Merkel wird abgehört – No Spy soll kommen und man ist empört. Der mit Ach und Krach eingesetzte NSA-Untersuchungsausschuss wird ausspioniert: man diskutiert auf Schreibmaschinen umzuschwenken und – ist empört. Das Entwicklungshilfeministerium wird ausspioniert: man bittet einen Ansprechpartner der USA das Land zu verlassen, beobachtet jetzt vielleicht auch “Freunde” und – na? – ist empört.

Wenn Sachsen nicht Berlin ist, warum meint die FDP dann, dass ich sie wählen muss, wenn ich eine Schwarz-Gelbe Landesregierung möchte?

Vermutlich nur, damit man mitregieren kann. Das ist egoistisch. Vielleicht passt das Baustellendesign, weil die FDP eine ähnlich große Baustelle wie der BER Flughafen ist.

Und noch mehr Honeypots

Von Mainboarder am 17.07.2014 veröffentlicht
Tags: , ,

Kürzlich berichtete ich über eine eingerichtete Spamfalle. Dieses System wird nun weiter verbessert.

Dafür habe ich zuerst ein Skript geschrieben, welches aus einer CSV-Datei für Vor- und Nachnamen zufällig ein paar Namen generiert und diese als Emailadresse auf einer List-Poisoningseite darstellt. Für die Emailadressen habe ich mir ein paar Domains gesichert (bei einem kostenlosen Angebot), damit ich existierende Domains nicht belaste.

Die Seite wurde auf einen Server ohne besondere Spamvermeidungsmaßnahmen gelegt und die Domains auf Cloudflare aufgeschalten. Dabei ist der Filter von Cloudflare inaktiv und dient nur der Verschleierung der eigentlichen IP-Adresse. Die Emailadressen sind als Catchallweiterleitung eingerichtet und verweisen auf Spamfence. Hier wird das erste mal gefiltert und das System mit Informationen versorgt. Danach landen die Spams in einem Mailaccount von wo aus sie zu verschiedenen Diensten wie Spamcop weitergeleitet werden. Sollte das System an Fahrt aufnehmen, wird das automatische reporten eingestellt.

Vorteil ist, dass die kostenlosen Domains niemanden im Whois stehen haben und mittels Cloudflare nicht die eigentliche IP des richtigen Servers zu finden ist. Dadurch kann die Spamfalle vollkommen anonym betrieben werden. Sollte der Spam zu viel werden, kann das Filtern durch Cloudflare einfach verschärft oder die Domains einfach auf andere Projekte wie blackhole.mx umgeleitet oder gar gelöscht werden.

Zudem habe ich dem Project Honeypot noch ein paar MX-Einträge übertragen.

Jetzt muss ich nur noch ein paar Links auf ein paar Seiten setzen, damit Bots die Mailadressen fleißig indexieren und dann wird es spannend.

Die besten Tweets zum WM-Finale

Von Mainboarder am 14.07.2014 veröffentlicht
Tags: , ,