BlackThorne.DK

Jeg studsede lidt over en opdatering til OS X i dag.

Apple var også sent ude i forhold til at ophæve tilliden til alle certifikater udstedt af det malaysiske underordnede nøglecenter (CA) DigiCert Sdn. Bhd, som sikkerhedsanalytikere sidste år fandt ud af, havde udstedt 22 certifikater med svage 512 bit-nøgler samt certifikater uden korrekte anvendelsesudvidelser eller tilbagekaldelsesoplysninger.

Microsoft og Mozilla ophævede tilliden til alle certifikater fra dette underordnede nøglecenter for tre måneder siden.

Det er altså ikke en decideret sikkerheds opdatering Apple her kommer med. Det er blot en ‘justering’ af rod certifikaterne i SSL træet.

Det der undrer mig, er at den slags opdateringer burde slet ikke være nødvendige. Så vidt jeg ved, kan man sagtens signere et givent certifikat, og dermed også et rod certifikat flere gange, af andre certifikater. Hvorfor har Apple ikke bare lavet deres ‘eget’ rodcertifikat, og signeret de udbydere, som de stoler på. Så kunne blot have lagt den malaysiske udbyder i deres CRL liste, hvorefter hans certifikater er tilbagekaldt, enkelt, hurtigt og sikkert.

Måske er løsningen at bruge DNSSEC til at opbevare offentlige nøgler i, så man helt undgår certifikat udbyderne. Ulempen er at det blot sikrer at vedkommende der har kontrollen over DNS, også har kontrollen over den givne server. Det sikrer imod Man In the Middle, men hjælper ikke meget, imod at folk logger på deres netbank på domænet www.n0rdeabank.dk.com. Den sikkerhed er der heller ikke meget af i dag, da det er de færreste ikke IT kyndige, der forstår sig på SSL certifikater og udvidede parametre. De kigger blot efter hængelåsen, for det er det vi andre har prædiket i årevis.

Egentlig burde vi slet ikke bruge SSL på den måde vi gør i dag. I SSL er sikkerhed alt eller intet. Mange af de oplysninger vi overfører, er jo ikke ‘hemmelige’, men vi vil blot have sikkerhed for at de er autentiske. Det klarer IPSec egentlig meget bedre, ved at have to forskellige lag af sikkerhed. AH, Authentication header, sikrer at der ikke er ændret i indholdet undervejs. ESP, Encapsulating Security Payloads, sikrer at det overførte holdes hemmeligt, så udenforstående ikke kan se indholdet. På den måde kan man overføre selve HTML siden, billeder og javascripts fra en netbank ukrypteret, men på en måde, så indholdet stadig kan verificeres. De data burde ikke indeholde nogle informationer, der er hemmelige, og kan på den måde caches af både slut browseren, men også af eventuelle proxies, som sparer båndbredde på vejen mellem banken og kunden. De hemmelige data, det vil sige en XML fil med kontonumre og saldoer, adgangskoder, eventuelle kontoudskrifter i PDF og andre hemmelige data, vil så kunne overføres fuldt fortroligt, ved hjælp af ESP. Hvis alt var bygget op om IPSec algoritmerne, ville vi være fri for at skulle kryptere store dele af vores data, men ville samtidig have fuldt tillid til de data vi overfører over et åbent Internet.

Endnu en gang udråber slashdot og version2 dommedagen til at være nær, og endnu en gang er jeg ved at teste IPv6.
Denne gang er der dog sket noget nyt. Jeg har opdaget noget, der rent faktisk bare virker. Det er bare en skam at det ikke er min internet udbyder, men Apple, der har fået det til at virke.

Hjemme har jeg en Apple Airport Extreme som router. Den har et lidt for fancy GUI værktøj til konfigurationen, men er i bund og grund en robust router, med features jeg bliver ved med at opdage. Jeg ville tjekke dens IPv6 implementation, og sad og rodede rundt med det. IPv6 siden i GUI værktøjet var ret simpel, og tunnel opsætningen var sat til ‘localhost only’. Jeg fandt ud af at man kunne sætte IP op manuelt, eller lave en tunnel ud. Under tunnel mode var der endnu en dropdown til ‘manuel eller automatic’ opsætning. Automatic? Gad vide hvordan det virker….

Og det gør det altså bare. Jeg har nu IPv6 adresser sat op i DNS til de enkelte maskiner hjemme i privaten (dem der understøtter det anyway), og det var mere eller mindre plug and play at få dem til at spille. Min MacBook Pro, min router og min Debian Linux server kørte out of the box. Jeg havde ikke tid til at teste de mere tricky ting, så som tv, playstation, nas box og så videre, men jeg går stærkt ud fra at iphone og ipad virker out of the box.
Jeg har ingen ide om, hvem der udbyder min tunnel, om jeg har en fast tunnel eller om jeg skal ændre ip’er om et halvt år. På den anden side, så giver det vel ikke mening at ændre min ip range?

Lige nu sidder jeg så i toget. Jeg har net via både Arriva’s gratisdanmark løsning og via min egen iphone. Ingen af dem ser ud til at understøtte IPv6…
Der er lidt vej endnu…

Dammit! Det er lige gået op for mig, at jeg havde smidt login siden til min _egen_ hjemmeside væk?!?
Det er skidt når man er nød til at logge på selve serveren og se hvad siden egentlig hedder…
Det er ikke så smart, at glemme at stoppe ‘meta’ blokken ind et sted i menuen. Så kan man jo ikke klikke for at logge ind…

Oh well: /wp-login.php eller /wp-admin/ virkede

Nå, men jeg må hellere få opdateret ønskelisten til jul.

Det er oktober… Det regner ude og er koldt og gråt.

Jeg sidder og opdaterer WordPress, mens jeg forsøger at forstå, hvorfor man har en ‘pakke’ til Debian med WordPress i. Pakken giver ikke rigtigt mening. For det første er den ældgammel – version 3.0.5. For det andet er der ikke meget hjælp at hente. Hverken på debianguiden.dk eller på wiki.debian.org. Det man får ind er en pakke med filerne smidt i /usr/share/wordpress. Herfra er det videre forløb så lidt sporadisk.

Nogle guides på nettet anbefaler at man symlinker mappen ind i ens /var/www mappe, men hvad så med os der har flere installationer af wordpress, men som ikke har lyst til at køre wordpress-mu? Andre steder anbefaler det at man bruger pakken til at tjekke dependencies, og så bare installerer skidtet manuelt… Hvorfor så bruge pakkesystemet? Et andet problem for mig, er at filerne er ejet af den samme bruger på alle mine sider. Det harmonerer ikke specielt godt med at jeg kører suexec, så hver side har sin egen systembruger. Det problem er der tydeligvis ikke nogen der har haft med Debian pakken. Jeg begynder at forstå, at det er fordi der ikke er nogen der bruger den. Så er der jo heller ikke nogle problemer med den…

Apopros bruger. Jeg kiggede lidt rundt på debianguiden.dk. Den er død. Sidste opdatering, på projekter der haster, er fra november 2008. Opdateringen går på at skrive guiden om til Debian Lenny (5.0), der jo blev frigivet i februar 2009. Den tidligere opdatering går på at skrive guiden om til Etch (4.0). Gad vide om det betyder at guiden i nuværende stand er skrevet til Woody (3.0) eller Sarge (3.1)? Og hvornår mon de får den opdateret til at de også vil omskrive den til Squeeze (6.0)?

I det mindste bliver min side opdateret cirka en gang om året. Det mest outdatede er mine linux sider. Det jeg laver bliver oftest dokumenteret andre steder…

Generelt en grå og kedelig dag. Nu vil jeg gå ud og se om der er lige så gråt på ydersiden af døren… Fortsat god oktober.. (2011)

Yay! Nu er det snart jul

Jeg har opdateret min ønskeliste, så den er klar til julegaverne.
Derudover går det stille og roligt, knokler med afleveringer og glæder mig til at få juleferie, så jeg kan få ro til at læse