Willkommen

Dies ist meine persönliche Homepage. Sie ist ziemlich zweisprachig und deshalb hängt es von meiner Stimmung und Ihrem Glück ab, in welcher Sprache Sie hier die Dinge finden können.

Nachfolgend sehen Sie die letzten News. Um alle News in der gewünschten Sprache anzuzeigen, nutzen Sie bitte die Navigationsleiste links.

Welcome

This is my personal homepage. It is quite bilingual and thus it depends on my mood and on your luck which stuff you will find in which language here.

Below you will see the latest news. To view all news in the desired language please use the navigation bar on the left side.

 

Professor Welpe01.11.2024

Wer Probleme mit Quantenphysik hat, braucht eigentlich nur einen Welpen zum besseren Verständnis. Spielzeuge verschwinden urplötzlich und tauchen genauso unvermittelt an anderer Stelle wieder auf. Zeit und Ort sind dabei absolut nicht vorhersagbar. So ist das auch mit den Elementarteilchen auf der Quantenebene. Kann also sein, das wir alle nur Welpenspielzeug sind.


Altmaier?31.10.2024

Hat jemand eine Ahnung, ob der Altmaier in Spanien eine neue Wirkungsstätte gefunden hat? Die Anzahl der Toten deutet jedenfalls darauf hin...


Glasfaser? Nein. USV? Nein. Telekom? Ja.30.10.2024

Die letzten Tage gab es hier Stromausfall. Etwa 100 Sekunden um die Mittagszeit. Wie immer schweigen die örtlichen Stadtwerke wie ein Grab. Information der Bevölkerung, wo käme man denn da hin?

Gut, wenn man mit hinreichend USV gegen deutsche Versorgungsqualität gewappnet ist. Das allerdings hilft dann nicht viel, wenn der als Maximum verfügbare VDSL-Anschluss der Telekom zwar kundenseitig durch eine USV abgesichert ist, auf Telekom-Seite aber mit dem Stromausfall der VDSL-Sync weg ist, d.h.  der DSLAM keine oder keine funktionierende USV hat.

So etwas ist absolut super. Da verkaufen sich die überteuerten Handy-Verträge doch wie geschnitten Brot, denn man muss ja in der Lage sein, Notrufe unmittelbar absetzen zu können und nicht nach 100 Sekunden weitere 300 Sekunden warten zu müssen, bis das VDSL-Training abgeschlossen ist und man wieder telefonieren kann.

Nun, möglicherweise ist das ja mit Glasfaser alles besser. Und angeblich soll es in Deutschland sogar schon Anschlüsse geben. Es gibt wohl auch Leitungen in etwa 50m Entfernung. Aber da ist das dann wohl wie bei der Bahn. Im Jahr 2075 vielleicht...


Wofür das "G" in "5G" steht30.10.2024

Das "G" steht für "Gehölze". Warum? Nach 5 Gehölzen ist die Kommunikationsqualität und Datenrate von 0G erreicht. Und nein, diese Gehölze stehen nicht etwa in der Pampa, sondern gehören zu einer Stadt mit mehr als 30000 Einwohnern. So etwas nennt man Naherholungsgebiet. Ist auch dementsprechend frequentiert. Aber für den Fall, das mal etwas passiert oder man ganz einfach aktuelle Infos über das drohende Gewitter braucht, empfieht sich in Deutschland wohl weiterhin Equipment für Satellitenkommunikation in Expeditionsqualität.


Ein Vorschlag zur Behördendigitalisierung28.10.2024

Als erstes wird doch eine Top Level Domain benötigt, die für alle Bürger eingängig und verständlich die Summe aller Behördenkommunikation beschreibt und die kinderleicht zu merken ist.

Ja, so eine Bezeichnung gibt es und sie ist, wie es scheint, sogar noch nicht vergeben: ".fax" und schon ist jedem Bürger eingängig zu vermitteln, dass unter einer solchen Domain die Kommunikation mit einer deutschen Behörde stattfindet!


Es kommt wie erwartet...28.10.2024

Ich erinnere mich noch gut an:

VW Manager, die über Tesla ablästern und die baldige Tesla-Pleite prophezeihen.

VW Manager, die günstige Elektroautos nicht bauen wollen, weil ihnen eine Gewinnmarge von 3% viel zu wenig ist.

Ich erwarte jetzt:

VW Manager, die sich keinerlei Schuld bewusst sind.

VW Manager, die umgehend nach Subventionen aus Steuermitteln verlangen.

Ich wünsche mir:

VW Manager, deren Gesamtbezüge wegen ungenügender Leistung um mindestens 50% gekürzt werden.

VW Manager, denen wegen betriebsschädigendem Verhalten fristlos gekündigt wird.

Merke: Wenn die allgemeinen Löhne deutlich weniger steigen, als die Kosten beim Autokauf, sollte man unter Berücksichtigung der Tatsache, dass auch Garagen nicht mit jeder Fahrzeuggeneration automatisch wachsen, stellplatztaugliche Fahrzeuge bauen, die primär der Fortbewegung und dem Transport dienen und somit geeignete Formate und Reichweiten haben, anstatt eine gefühlte mobile Verlängerung der heimischen Spielkonsole zu sein, die auch deren Haltbarkeit nicht wirklich übertrifft.

Na klar, in Deutschland brauchen wir keine produktionsorientierte Forschung bezüglich Akkus, die Herstellung ist auch überflüssig. Ein bisschen Fraunhofer Laborgedöns genügt doch völlig. Da werden uns CATL & Co. garantiert niemals überholen, oder?

Es ist doch auch komplett sinnfrei zu erwarten, dass sich die europäischen Hersteller zusammentun, um eine gemeinsame Softwarebasis zu schaffen. Da verplempert doch jeder Kohle ohne Ende, um schlussendlich wegen unzureichender Ergebnisse die Software dann mit zusätzlichen Kosten bei den altbekannten transatlantischen Quellen einzukaufen. Und der dumme Kunde soll es dann bezahlen.

Und nein, das Ammenmärchen von schützenden Importzöllen können sich Flinten-Uschi und ihre leyen-haften Kumpanen mal schnell sonst wohin stecken. Sowas funktioniert bestenfalls dann, wenn man nur Exklusivprodukte exportiert, die jeder unbedingt haben will. Ansonsten gibt es einfach Gegenzölle und am Ende nur Verlierer, also Steuerzahler, die die Zeche begleichen müssen, auch wenn das bei Zensursula die übliche Vorgehensweise zu sein scheint.

Aber nun  gut, das ist eben so, wenn man sich von einschlägig bekannten "Unternehmensberatungen" gegen viel hinausgeworfenes Geld Fehlinformationen gemäß eigenem Wunschdenken geben lässt und ansonsten gegenüber gesundem Menschenverstand beratungsresistent bleibt. Aber was will man auch von einem Mitglied einer Partei erwarten, die ihr Catering bei einem behördenbekannten Mitglied einer dieser, nun ja, nicht so ganz gesetzestreuen größeren italienischen Organisationen ordert - was tut man denn nicht alles für gute Beziehungen...

Ich bin gespannt, ob ich noch erleben darf, dass die hochwertigen Fahrzeuge aus der Sahelzone mit Importzöllen belegt werden, damit die dann noch produzierten VW Trab-An (Ausführung "T") Modelle gegen dieses "perfide" Preisdumping geschützt werden - insbesondere dann, wenn der notwendige Fahrzeug-Service mangels kompetenten Personals nur noch in der Umgebung der Wart-Burg stattfindet. Wird wohl zu dem Zeitpunkt sein, an dem die Rechtsausleger die neue Mauer fertig gebaut haben. Aber man kann ja hoffen, dass es im Anschluss wenigstens mitleidsbasierte Nahrungsmittelspenden aus Nordkorea gibt. In diesem Sinne: Weiter so und holt baldmöglichst Altmaier, Scheuer und Spahn zurück, damit das Werk möglichst schnell vollendet werden kann! Gegen Langeweile hilft im Anschluß garantiert der Horst vom Heimatmuseum. Alternativ Ponyreiten bei Uschi.


Elektroautos, Preise und die Reichweite...26.10.2024

Ja, ich hätte gerne ein Elektroauto. Aber ich habe auch ein vierpfotiges Haustier. Und damit beginnen die Probleme. Was ich auch immer regulär an wenigen Kilometern fahre: ich muss in der Lage sein, im Notfall schnell die nächste geöffnete Tierklinik erreichen zu können. Wer schon einmal den Notfall Magen- oder Milzdrehung bei einem Haustier hatte, weiß, dass hier jede Minute zählt.

Nun gut, die nächste Tierklinik, die derzeit 24/7 Versorgung bietet, ist knapp 50km entfernt. Da sollte man doch meinen, dass es ein Elektroauto mit moderater Reichweite tut. Aber weit gefehlt. Diese Tierklinik hatte schon zweitweise wegen Personalmangel keinen 24/7 Betrieb und wenn das passiert, ist die nächste Tierklinik mit 24/7 Versorgung gut 200km entfernt. Und ob in der Klinik in 50km Entfernung selbst bei 24/7 Betrieb eine Not-OP mitten in der Nacht möglich ist, wage ich ganz einfach zu bezweifeln.

Ich muss also bei einem Elektroauto eine reale Reichweite von 250km bei einer Autobahngeschwindigkeit von etwa 130km/h ansetzen, wenn ich im Notfall nicht direkt zur nächsten Tierkörperbeseitigungsanstalt fahren will. Somit benötige ich also ein Elektroauto mit hoher Reichweite, auch wenn das für meinen üblichen Alltagsbetrieb völliger Overkill ist. Es ist eben im Notfall nicht möglich, mal eben einen hoffentlich freien Schnellader anzufahren und dann 30 Minuten aufzuladen, während der Notfallpatient im Fahrzeug stirbt. Oder das zuhause tut, während man versucht einen Leihwagen zu bekommen. Anders ausgedrückt: wem würde es gefallen, wenn der Notarzt eine halbe Stunde später kommt, weil sein Auto erst geladen werden muss, oder er sich erst ein Fahrzeug ausleiht?

Die Realität ist also, dass ich bei üblicherweise deutlich weniger als 2000 gefahrenen Kilometern im Jahr ein Fahrzeug mit einer WLTP-Reichweite von mehr als 550km benötige. Denn die reale Reichweite beträgt in diesem Fall dann eher 450km bei optimalem Wetter, im Winter auf der Autobahn sind es dann so um die 250km, wenn man eben nicht schleichen darf. Was schlussendlich der obigen Anforderung genügt.

Somit benötige ich also in jedem Fall eine Fahrzeugvariante mit einer Netto-Akkukapazität vom mindestens 75kWh, die dann auch noch für Tiertransporte geeignet ist. Weiterhin muss ich auf eine Mindestladung von mindestens 60% und ein Ladefenster von 60%-80% achten, um im tierischen Notfall auch reagieren zu können, selbst wenn der örtliche Energieversorger mit dem Netzausbau trödelt und sich auf der gesetzlich möglichen Ladeleistungsreduktion ausruht. Vehicle to Grid, dass die Politik sich ja so wünscht, ist dementsprechend für mich ebenfalls Unfug. Erschwerend kommt dann noch dazu, dass Energieversorger die 11kW Ladeleistung ja nur je Grundstück und nicht je Wohneinheit zwingend zur Verfügung stellen müssen, somit also die Fahrzeugladung im Mehrfamilienhaus sehr schnell zum Geduldsspiel verkommt. Ob das wohl auch so gehandhabt würde, wenn je Ministerium für die Gesamtheit aller Dienstwagen nur 5L Sprit je Stunde getankt werden dürften?

Da ich nun mit Sicherheit nicht der einzige Mensch mit Haustier bin, der nicht im direkten Einzugsgebiet einer Uni-Tierklinik mit garantierter 24/7 Versorgung lebt, stellt sich daher die Frage, ob sich Politiker als Haustiere nur das Wahlvolk halten und ansonsten wie immer keine Ahnung haben. Wie auch immer, letztendlich muss ich hier die Zeche für einen überdimensionierten Akku zahlen. Und ja, ein vierpfotiges Haustier ist üblicherweise freundlicher, tolerater, angenehmer, sozialer und auch kostengünstiger als die zweibeinige Variante, weswegen ich auf letztere gerne verzichten kann. Aus Erfahrung lernt man eben.

Dann muss ich mir eben den Reichweitenluxus "gönnen" und deswegen noch einige Jahre länger meinen Benziner in Betrieb halten. Das hat halt dann die Wirtschaft so geregelt, wie die Typen von der Partei mit dem Kubik "Ihhhh" sagen würden.

Das sind dann auch diejenigen, die so unsinnige Ideen wie eine "Abwrackprämie" ins Spiel bringen. Na klar, der Mensch, der sich ein heftig gebrauchtes Altfahrzeug mit einem Restwert von maximal 2000€ kauft und bis zur Verschrottung fährt wird dann auch derjenige sein, der sich dank dieser irren Idee einen Elektro-Neuwagen leisten kann. Derjenige dagegen, der dies könnte, wird sicherlich sein Gebrauchtfahrzeug lieber für 10000€ veräußern, als dank dieser "Idee" einen deutlich geringeren Betrag als "Prämie" zu erhalten.

Es wäre doch so einfach. Die Politik will einen höheren Anteil verkaufter Elektrofahrzeuge? Dann sollte doch einmal gezählt werden, wie viele private PKW es im Verhältnis zu Firmenwagen gibt. Und wenn beim Neukauf eines Elektroautos der Staat dann auf die 19% "Märchensteuer" bei einem Listenpreis bis zu 80000€ (d.h. vor ggf. notwendigen behinderungsbedingten Umbauten) verzichtet, macht dieser dann bei den derzeitigen Verkaufszahlen keinen großen Verlust, schafft aber einen wirklichen Kaufanreiz für die große Mehrheit. Das gibt es dann eben je privatem Käufer nur einmal pro Kalenderjahr, es sei denn, ein unfallbedingter Totalschaden oder eine unerwartete körperliche Behinderung macht einen erneuten Kauf notwendig - und das prüfen Versicherungen ja bereits heute sehr genau. Wenig bürokratischer Aufwand mit vermutlich reichlich Wirkung, aber dazu muss in Deutschland wohl erst das Fax abgeschafft werden, die Lagerfläche für ausgedruckte Akten zur Neige gehen und der letzte Haushalt mit Glasfaser versorgt worden sein - somit frühestens vermutlich dann, wenn Nigeria damit beginnt, überschüssige Glasfaser zu exportieren. Und wem das 80000€ Limit zu hoch erscheint, der sehe sich doch einmal die Endverbraucherpreise für familientaugliche Fahrzeuge der von der Politik so verhätschelten Firma mit Sitz in Wolfsburg an - dies dann allerdings unter der Prämisse, das es in diesem Land keine "ein Kind" Politik gibt. Wenn dann auch noch die Strompreise and den öffentlichen Ladesäulen so reguliert würden, dass hier kein Raubrittertum mehr stattfinden kann, wäre auch dies vorteilhaft - man beachte dabei, dass die Kosten für 100km Reichweite bei Nutzung öffentlicher Ladepunkte gerne auch über den Benzinkosten für die selbe Reichweite liegen. Man gönnt sich ja sonst nichts...

Ich für meinen Teil spare also erst einmal weiter und beglücke den "Bundesbenzinkanister" weiterhin mit Kurzsteckenverbrauch. Scheint ja politisch aus Klimaschutzgründen so gewollt zu sein.


What the hell did Firefox developers smoke...18.09.2024

Well, I do run some MJPEG cam streams to watch my puppy. This way I do get a 0.5 second overall delay which is just good enough to take action when a 35kg puppy (will be about 75kg when grown up) starts to create havoc. To archive this I have to use analogue cameras and fast converting cam servers without https support.

Thus I do have a https main cam page with http images that show the MJPEG streams. That always worked - until I did upgrade to Firefox 130.0. Here one gets only broken images.

The reason is found fast. Firefox developers did smoke something weird and then decided to upgrade the http image link to https as they will for sure know better than the web page developer. And yes, there's no way the change this behaviour in settings as only Firefox developers know best...

One has to search the web, filter out endless fruitless results to finally get a hint to about:config and a search for mixed there. There actually is the solution. One has to change security.mixed_content.upgrade_display_content.image from true to false to get back the MJPEG streams.

Could somebody please send Firefox developers some clean weed to prevent such stupid modifications in the future?


Die spinnen, die Hersteller...31.05.2024

Das darf doch wohl nicht wahr sein. Welpenspielzeug ohne "Quietschie" muss man inzwischen mit der Lupe suchen. Geht es denn noch?

Wohlgemerkt, wenn Welpen miteinander spielen und und es einem dabei weh tut, dann quietscht der, damit der andere ablässt. Das funktioniert dann solange, bis Idioten quietschende Spielzeuge zum Standard erklären, weil es doch den Welpen soooovieeeel Spass macht.

Damit geht dann die Beisshemmung vor die Hunde. Da brauchen sich die ach so wissenden Käufer solcher Spielzeuge dann nicht wundern, wenn der Vierbeiner dann auch gerne quietschende Menschen anknabbert, weil es sooooo schööööön ist. Hat er ja als Welpe eifrig trainieren dürfen.

Diesen Unfug zu verkaufen gehört verboten, da es scheinbar nicht anders geht. Aber Flinten-Uschi kümmert sich ja lieber um Staubsauger und ihre eigene Wahlwerbung, die die Transparenzregeln der EU ignoriert. Wie immer also Leyen-hafte Arbeit, die einen nur noch ansödert.

Merke: Ein Welpe ist kein Kleinkind-Ersatz und wird immer ein Hund bleiben. Dementsprechend sollte die Spielzeugwahl gestaltet werden. Und ja, ein Welpe ist toll, aber am Ende kommt ein ausgewachsener Hund dabei heraus, der einen klar definierten Platz in seinem Menschenrudel braucht. Das darf man einfach niemals vergessen.


Gratisangebot...24.04.2024

...und zwar für die deutsche Bahn. Den nachfolgenden Satz darf diese in unveränderter Form als gemeinfreie Werbung nutzen:

Die Bahn - Entschleunigung in vollen Zügen genießen.


Teuer, wieso teuer?24.04.2024

Klar, in Deutschland soll mit Wärmepumpen umweltbewusst geheizt werden. Auch Elektroautos sollen ja zu Gunsten der Umwelt kommen. Und damit das dann auch entsprechend unattraktiv ist, müssen die Strompreise einfach steigen. Ist ja nicht so, als ob Strom in Deutschland teuer wäre. Solange man sich mit den Strompreisen "nur" im Bereich der weltweiten Top Ten bewegt, ist das doch preiswert, oder?

Wenn die Windkraft- und Solarbranche nicht systematisch kaputt-gealtmaiert und Stromtrassen nicht in bester Söderei hinwegpopulisiert worden wären, würden die Dinge heute wohl anders aussehen - wenn dann noch regulative Maßnahmen gegen Rekordgewinne gewisser notleidender Energieproduzenten erfolgen würden.

Aber nun ja, wir befinden uns eben im Land der unbegrenzten Porsche-Liebhaber. Da leben die obersten fünf Prozent eben gerne zu Lasten der Bevölkerungsmehrheit.


Little Britain24.04.2024

As it will still take at least a decade before affordable broadband is sufficiently widespread to replace satellite tv, the latter is quite a good indicator for economic health.

And looking at the continuously diminishing count of active transponders of the Astra 2 satellite group, the economic direction of former Great Britain is clear. Go Brexit, go Little Britain!

No mercy from my side, no EU country, so no sale. And if there's illusions of positive economic contracts - well, there's no empire anymore and a single little island can't dictate economic rules.

The only thing I can say is "have fun going down". And if this country wants back in the EU, which actually may happen, it will have to accept all proposed rules and regulations without any discussion. Otherwise this country is allowed to simply go broke. No one will care.

In the end, maybe the EU will have a not so far away place that can produce cheap low tech stuff, replacing the cheap chinese low tech stuff. Or have a large nearby chinese fullfillment center. Mind you, there's no EU human rights rules anymore for the UK so wages can be continuously reduced, as long as there's sleeping bags for bridges and sewers available.

Yes, people do get what they asked for. And if people are stupid enough to believe in outright lies these people will have to pay the price for their stupidity. It's as simple as that.


Geplante Obsoleszenz - wie Zeitungsverlage sich selbst entsorgen24.04.2024

Es gibt Branchen, die alles in ihrer Macht stehende dafür tun, der Titanic nachzueifern und sich dann über den stetig steigenden Wasserstand beschweren.

Ein gutes Beispiel sind da Tageszeitungen. Die hatten ja schon immer ihr Abo, da konnte man mit dem aufkommenden Internet die Ausgabe online anbieten - natürlich mindestens zum Preis des gedruckten Pendants. Ist ja klar, der Verzicht auf Zeitungspapier, Druckstraßen, Zusteller und der damit verbundenen Nebenkosten ist ja so teuer, da kann man das nicht billiger anbieten. Und dann abonnieren diese elendigen Kunden das ganz einfach nicht. Frechheit!

Dann wird eben die Online-Ausgabe mit Werbung so verseucht, dass eigentlich eine Vorschaltseite notwendig wäre, die Epileptiker vor dem Betrachten des Geblinkes und Gewackels warnt. Apropos Verseuchen: auf die hauseigene Werbeabteilung wurde dann wohl allseits wegen Überalterung verzichtet, dafür hat man sich von durchaus dubiosen Anbietern mit Malware-verseuchter Werbung beglücken lassen - nein, dafür haften wir doch nicht, das war doch jemand anderes... - und dann verwenden die verbleibenden generften Leser ganz einfach Adblocker, um redaktionelle Inhalte überhaupt finden zu können, so eine Unverschämtheit!

Da reduziert man doch lieber gleich den Zugriff je Woche, Paywalls sind doch mit Sicherheit das Allheilmittel gegen renitente Leser - ach, da gibt es noch welche? Ja, die nennen sich Rentner und legen Wert auf die gedruckte Ausgabe. Die meisten anderen Menschen verzichten darauf, viel Geld für Nachrichten zu zahlen, die für sie zumeist irrelevant sind. Ach ja, zur Finanzierung dieser Paywalls sollen dann auch noch Suchmaschinenbetreiber herangezogen und natürlich dazu verpflichtet werden, solche für sie kostenpflichtige Links anzuzeigen. Warum muss ich jetzt ständig an Raubritter denken?!?

Nun zur Qualität. Ein einfaches Beispiel, wie Lokalzeitungen investigativen Journalismus betreiben, konnte man in meiner Heimatstadt schon vor Jahren bewundern. Da gab es einen leitenden Mitarbeiter der Abfallwirtschaft des Landratsamts, der die Einführung des gelben Sacks mit fadenscheinigen Begründungen verhindert hat. Am Tag nach dem entsprechenden Beschluss hat diese Person den Job gewechselt - hin zu einer leitenden Funktion beim lokalen Wertstoffentsorger, zu dem jetzt alle Bewohner des Landkreises den Abfall, für dessen Entsorgung sie schon beim Kauf gezahlt hatten, bringen mussten - ist klar, wenn jeder mit dem eigenen Auto zum Entsorger fährt, gewinnt da nur einer... - die Lokalredaktionen der beiden Zeitungen, die für diese Stadt einen Lokalteil anbieten, haben diese Begebenheit - wohl gemäß der damaligen Seilschaftsrichtlinien - gebührend bejubelt, anstatt diesen Humbug investigativ zu hinterfragen. Ist ja auch viel bequemer, über goldene Hochzeiten und Schützenvereinsjubiläen zu berichten. Deutscher Qualitätsjournalismus eben.

Die Zeitungswirtschaft könnte heute durchaus florieren. Man hätte nur das "weiter so!" unter den Tisch fallen lassen und mit kreativen Ideen Neukunden gewinnen müssen. Wie wäre es denn mit einem bezahlbarem Online-Gemeinschaftsabo für ein bestimmtes Kontingent regionaler und überregionaler Zeitungen gewesen? Aber nein, lieber prohibitive Preise für nicht vorhandenen oder aber für andere Regionen bestimmten Inhalt verlangen.

Ich hätte da einen Vorschlag. Für die Restlebendauer der noch vorhandenen Kunden könnte man ja KI-generierte Artikel schreiben lassen. Da braucht man dann kein Personal mehr und bei so wenig Lesern wird das sowieso nicht auffallen.

Das damit entstandenene Nachrichtenvakuum wird dann eben durch RT-Nachfolger und Extremisten gefüllt. Und nein, daran sind nicht die Kunden schuld, sondern vorgestrige Verleger. Merke: Zeitungen kann man nicht essen und mit Zeitungen kann man auch nicht wirklich heizen. Nachrichtenkaviar ist überflüssiger Luxus. Wer das nicht verstehen will, muss eben schließen.


Der Wirtschaft geht es ja sooooo schlecht...23.04.2024

Nun, da sind Lieferungen aus Polen, Tschechien, den Niederlanden, Österreich und auch aus den USA längst bei mir eingetroffen, bevor sich deutsche Händler dazu herablassen, dem lästigen Kunden mit Warenlieferung zu drohen - ja, maximal so in etwa mit "die Ware geht demnächst in die Auslieferung". Ein oder zwei Wochen später kann der lästige Kunde dann mit Zustellung rechnen - wenn er denn Glück hat.

Und zur Produktvielfalt - was es schon vor 50 Jahren gab, ist bei deutschen Händlern zumeist erhältlich. Innovative Produkte gibt es bei deutschen Händlern scheinbar nur, wenn der Rest der Welt diese schon längst verkauft.

Abgesehen von vereinzelten positiven Ausnahmen stellt sich daher die Frage, ob der Versandhandel in Deutschland nicht einfach zusperren sollte. Die EU-Nachbarn liefern jedenfalls schneller bei wesentlich breitbandigerem Warenangebot. Und man fragt sich dann schon bezüglich der Preisgestaltung, wie es denn möglich ist, dass ein Produkt, welches aus den USA per Luftfracht geliefert wird, inklusive aller Transportkosten und Abgaben deutlich preiswerter ist, als das von deutschen Händlern angebotene Pendant.

Auch bei der Herstellung innovativer oder aber ganz einfach moderner Produkte kann man Deutschland mit der Lupe durchsuchen, um vielleicht doch einen Hersteller zu finden. Nehmen wir doch einmal das Beispiel Filament für 3D-Druck. Bekannte EU-Hersteller sitzen hier z.B. in Tschechien und Österreich. Es scheint wohl inzwischen einige kleinere Produzenten in Deutschland zu geben. Wenn man aber ein technisch hochwertiges Filament sucht, kann man bei deutschen Herstellern lange suchen - das muss nicht bedeuten das es so etwas nicht gibt, allerdings findet man entweder nichts, oder die Preise stammen vom Mond, die Mindestabnahmemenge ist jenseits von gut und böse oder aber wie so häufig, wenn es sich nicht um Ramsch handelt, gibt es das "nur für Gewerbetreibende".

Auch der Handel vor Ort sollte wohl besser zusperren. Ich brauche einfach nur einen simplen Satz Dübel und Schrauben, die ein Hängeregal mit 40kg statischer Belastbarkeit tragen können und nicht durch dessen Bohrungen durchrutschen. Das ist natürlich viiiiiieeeeel zu speziell, als das es da in den Baumärkten einer 30000 Einwohner Stadt etwas geeignetes geben würde - außer natürlich, man kauft mengenmäßig gleich für die nächsten 5 Leben ein - unter 50 Dübeln und 100 Schrauben geht da gar nichts. So eine passende Packung mit Schrauben und Dübeln in geeigneter Menge gibt es natürlich - im Baumarkt in der nächsten Großstadt. Klar, da wird sich jeder gleich ins Auto setzen und den Bundesbenzinkanister beglücken...

Jaja, den deutschen Händlern geht es ja soooo schlecht... - dann sollen sie doch alle Konkurs anmelden und wir kaufen dann in den EU-Nachbarländern ein, weil der Handel dort funktioniert. Den Leerstand kann die CDU/CSU anschließend für "Weiter so!"-Veranstaltungen preisgünstig nutzen.


Der Unfug mit den Rauchmeldern14.01.2024

Ja, Rauchmelder sind wichtig und sinnvoll. Allerdings sollten sie nicht die Ursache für Berge von Elektronikschrott sein. Moderne Technik sollte eine (Re-)Kalibrierung dieser Geräte jederzeit erlauben und nur im Defektfall die weitere Nutzung verhindern.

Das VdS-Regularium, einen Batterietausch bei privat genutzten Rauchmeldern unmöglich zu machen und die Funktion auf 10 Jahre zu begrenzen, ist einfach lächerlich, keinesfalls Stand der Technik und reine Geldmacherei. Wenn denn alles so schlimm ist, dürften funkvernetzte Rauchmelder ja keinesfalls ein VdS-Placet erhalten, denn die Funkverbindung könnte im Ernstfall doch gestört sein... - aber da wird ja Gewinn gemacht, dann ist das schon in Ordnung.

Dieses Gebahren hat dann wohl auch zur Folge, dass genau dort, wo es notwendig wäre, ein Rauchmelder mit leerer Batterie aus finanziellen Gründen nicht oder nur nach Monaten ersetzt wird, weil das Geld zwar für Batterien reichen würde, nicht aber für den erzwungenen Neukauf.

Ich bin dann auch gespannt, wie das VdS-Regularium das zukünftige Recht auf Reparatur umschiffen will, insbesondere dann, wenn 10-Jahres-Batterien keine 10 Jahre halten.

Im weiteren sollte die EU auch dafür sorgen, dass Laufzeitversprechen vor einer entsprechenden Gewährleistung abgedeckt sind, wenn der Kunde keine Möglichkeit hat, die beworbene Laufzeit mit eigenen Mitteln zu erreichen - verspricht also der Hersteller eine Laufzeit eines Geräts mit fest verbauter Batterie von 10 Jahren, so muss auch für diesen Zeitraum eine Gewährleistung durch den Hersteller erfolgen. Aber solange Flinten-Uschi & Co. in der EU das Sagen haben, werden wohl lieber weiter Staubsauger reguliert und eine Herstellerhaftung kommt wohl frühestens nach Abschaffung der Sommerzeit...


Friday the 13th...14.10.2023

Well, today I set up a MUA on a freshly installed system. Actually, though using KDE I'm running Evolution as it is the only MUA that doesn't choke on 5 digit mail counts in IMAP folders as Thunderbird does and that doesn't happily start to delete complete folder trees in the background by itself as an incaration of KMail I tried quite a while ago did. Well, no trust in KMail anymore, never again. And as for Thunderbird word has it that it didn't get better with "larger" amounts of mails.

Well then, Evolution works well in the KDE desktop environment (I'm using Arch). It handles all kinds of IMAP servers without problems - except for Google Account setup.

I'm using a 2FA scheme using Yubikeys for logon. And this leads, when setting up a Gmail accound with Evolution, to a endlessly waiting window after having entered username and password. The 'open in external browser' (the '>' symbol) method fails utterly, too, no matter which browser is used.

The only way to work around this is to first disable temporarily Google 2FA authentication, then assert that 'OAuth2 (Google)' is selected in the 'Receiving Email' pane of the account configuration in Evolution and then restart the account login. Voila, access granted, gnome-keyring stores the access information, all is good.

And then, for some nice extra work one has to re-enable Google 2FA and painfully re-add all security tokens, one by one. After that delete the myriad of Google security warning mails on the Google and the fallback account.

This is how security is not supposed to work. This is a three hours horror or trial and error including lots of web research. This is a mess. And it seems, for the majority of problems Google is to blame as chromium is not able to handle the transferred url to create a security token. Doh. Friday the 13th, you can tell...

Additional fun facts: Disabling 2FA doesn't work on Android. Google wants to use Chrome there, too. And if your default browser isn't Chrome for good reason you lost. And as for security I had to setup a browser with 2FA and kept the 'remember me' option for good measure while working on the logon stuff. After all logon changes back and forward trying this browser resulted in: still no passphrase or 2FA required, business as usual. Now, Google, what kind of security you're using? The 'only Google stuff works' version?


The systemd Backdoor Feature01.10.2023

So you rely on the fact that only root can start services and that the service that has a security problem which you stopped and for which you did autostart disable thus stays down?

Well, what the heck, why should systemd developers implement such an Hax0r's hindrance? Thats' what "ActivationRequest" signals are for. Just start any service with no authority check, isn't that a cute feature?


Did gnupg developers get notified...01.10.2023

... that select, poll, epoll and friends where invented a while ago and that networks tend to fail spuriously from time to time? Probably not as a short wireless outage while "dirmngr" is running makes that rubbish of a so called tool start to consume 100% cpu and needs to be killed before the laptop fans get their outage, too. And thanks to having to kill this waste of code this trash happily ruins the keyring it is supposed to be working on while going down.

Yes, planning and implementation of modern and functional software that is actually usable tends not to be part of the skills required for gnupg development.


If you want an insecure system...01.10.2023

...be sure to run all software promoted by freedesktop.org. You will get:

  • monstrous programs like accounts-daemon that for sure can't be audited but insist on accessing /etc/shadow to offer account services relying on the broken and virtually unmaintained Polkit via DBUS instead of relying on tried and usually trustable services like PAM
     
  • programs like systemd that are designed with the 1970s concept of "root is allowed everything" that don't even offer any mechanism to restrict access
     
  • again programs like systemd that are soooo flexible that you can't e.g. have your own unit definition and then mask the unit (may be temporarily required) as your unit definition and the masking symlink are require actually the same pathname, nah, doesn't happen on big $$$ corp. systems, unneeded feature
     
  • software that is designed to be liked by managers of big $$$ corporations as the broken design fits the monitoring plans on the sheet of printed paper lying on their desktop
     
  • software that is for sure not designed with end user desktop system security in mind

The mainainers of freedesktop.org should rename their site to megacorpsupport.com as this fits the intention of the software hosted there. I just do wait for the moment when "freedesktop.org" starts to promote the "we don't need any programs anymore, just shared libraries loadable by our awsome systemd" slogan. And if they manage, a little later there will probably be the "in the future only libraries signed by our big $$$ friends will be acceptable for loading by systemd" enhancement. Well, yes, like Steven King's "new and improved" interpretation (you should read "Tommyknockers").

One should really be aware that freedesktop.org is not a real promoter of the open source idea, instead it promotes "embrace and extend" which is the method of a certain Redmond company.


Polkit - Insecure by Design01.10.2023

Polkit is broken. Completely. Not only that there's usability bugs that break command line usage pending for years - it relies on an "Authentication Agent". The latter is typically provided by your desktop environment and consists of a part running as the user and a part running as root.

The brokenness is that Polkit doesn't do any actual authentication itself. It relies on the "Authentication Agent" doing "the right thing" and signalling "access granted" or "access denied".

Now desktop environments are not exacly known for providing components that are heavily security audited. And they do things their own way. Thus it is quite usual that an application requests root rights and the "Authentication Agent" of the desktop environment just asks for the user's password to signal "access granted". So just running "pkshell" and entering your accound password provides for a root shell, even if the whole system is configured to require the root password for any actual root shell. Doh.

It could have been so easy if Polkit would have been properly designed. Polkit is accessed via DBUS and DBUS allows for file descriptor transfer. Thus the authentication request via Polkit could still make use of an "Agent", the "Agent" however just providing the authentication information via the file descriptor and Polkit doing the actual authentication using tried and mostly reliable methods e.g. via PAM. And in this case Polkit could have been configured to e.g. enforce presentation of the root password for root actions by default except where defined explicitly otherwise via a policy.

But well, this ship has sailed a long time ago and thus Polkit is another example of short thinking with regard to security, resulting in bad security.


The sad state of systemd security01.10.2023

Systemd developers seem to behave like little children playing with their new toy in front of their home and not being aware that the nearby road is a constant danger to their life.

This is the only reason I can see why systemd allows for service control via DBUS without any means of restricting what can be done. I don't mind systemd having its own private control socket (except for it's location which again prevents security measures) with full service control.

So any malicious application that can pretend to be legitimate via DBUS can wreak havoc to a systemd controlled system. Systemd developers should have been aware that uid 0 is just an insufficient credential and has been for many years. But well, little children don't know better.

The sad thing is that nobody on the systemd side seems to care about security. No wonder the head systemd developer was welcomed by this certain Redmond company that is well known for losing important private keys. Maybe the remaining developers should head there, too. And maybe then developers with a sense of security in mind can try to salvage the pieces.

At least now I do understand why Ubuntu is patching the kernel so heavily for Unix domain socket and DBUS control. And yes, from a security point of view this stuff would need to be applied to mainline urgently to get at least some control back into the hands of an administrator that really takes care when it comes to system security.

Is it necessary for some zero day exploit to cause worldwide havoc until kernel developers get it that the beloved systemd init system is fatally flawed and needs restrictions that can only be applied via additional kernel security?

Does one really need to develop eBPF code that gets attached to the proper Unix domain sockets and then filter unwanted stuff - given that this is actually possible? Why is there no systemd configuration that can deny dbus requests as specified by the system adminsitrator? How big must a security hole be to be acknowledged as such?

And yes, this "feature" can threaten lives. Try to make an urgent emergency call when your home pbx has been shut down by a malicious application marauding system services via the oh so cute DBUS interface of systemd. Ok, no way to call for help, die a little bit earlier, thanks to the stupidity of systemd developers.


GnuPG - or: how to make easy things very difficult19.09.2023

Well, I just wanted to do a fresh install of Tor browser. Ahem, not possible, key expired (!?!). So I looked at the Tor Project's web site for further information. So let's try to fetch the signing keys manually according to the above information: 

gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org

This gives some more information, which isn't really helpful at all:

gpg: error retrieving 'torbrowser@torproject.org' via WKD: General error
gpg: error reading key: General error 

So back to the drawing board and edit ~/.gnupg/dirmngr.conf to contain:

debug-level guru
log-file /tmp/dirmngr.log

Then kill dirmngr which otherwise stays as an unwanted daemon in the background and thus never re-reads its configuration and retry. As expected the above error persists, so let's look at the debug output (*** means 'obfuscated' and some wrapping applied):

dirmngr[813092] listening on socket '/run/user/***/gnupg/S.dirmngr'
dirmngr[813093.0] permanently loaded certificates: 145
dirmngr[813093.0]     runtime cached certificates: 0
dirmngr[813093.0]            trusted certificates: 145 (145,0,0,0)
dirmngr[813093.6] handler for fd 6 started
dirmngr[813093.6] DBG: chan_6 -> # Home: /home/***/.gnupg
dirmngr[813093.6] DBG: chan_6 -> # Config: /home/***/.gnupg/dirmngr.conf
dirmngr[813093.6] DBG: chan_6 -> OK Dirmngr 2.2.41 at your service
dirmngr[813093.6] connection from process 813090 (***:***)
dirmngr[813093.6] DBG: chan_6 <- GETINFO version
dirmngr[813093.6] DBG: chan_6 -> D 2.2.41
dirmngr[813093.6] DBG: chan_6 -> OK
dirmngr[813093.6] DBG: chan_6 <- WKD_GET -- torbrowser@torproject.org
dirmngr[813093.6] DBG: chan_6 -> S SOURCE https://openpgpkey.torproject.org
dirmngr[813093.6] number of system provided CAs: 0
dirmngr[813093.6] TLS verification of peer failed: status=0x0042
dirmngr[813093.6] TLS verification of peer failed: The certificate is NOT trusted.
        The certificate issuer is unknown. 
dirmngr[813093.6] DBG: expected hostname: openpgpkey.torproject.org
dirmngr[813093.6] DBG: BEGIN Certificate 'server[0]':
dirmngr[813093.6] DBG:      serial: 0468C1A495902B3A5BE46845EF6767A04B2E
dirmngr[813093.6] DBG:   notBefore: 2023-09-02 00:48:10
dirmngr[813093.6] DBG:    notAfter: 2023-12-01 00:48:09
dirmngr[813093.6] DBG:      issuer: CN=R3,O=Let's Encrypt,C=US
dirmngr[813093.6] DBG:     subject: CN=openpgpkey.torproject.org
dirmngr[813093.6] DBG:         aka: (8:dns-name25:openpgpkey.torproject.org)
dirmngr[813093.6] DBG:   hash algo: 1.2.840.113549.1.1.11
dirmngr[813093.6] DBG:   SHA1 fingerprint: 86A624B2EF0BDA723F2459B2C90D20D33E7EA8AD
dirmngr[813093.6] DBG: END Certificate
dirmngr[813093.6] DBG: BEGIN Certificate 'server[1]':
dirmngr[813093.6] DBG:      serial: 00912B084ACF0C18A753F6D62E25A75F5A
dirmngr[813093.6] DBG:   notBefore: 2020-09-04 00:00:00
dirmngr[813093.6] DBG:    notAfter: 2025-09-15 16:00:00
dirmngr[813093.6] DBG:      issuer: CN=ISRG Root X1,O=Internet Security Research Group,C=US
dirmngr[813093.6] DBG:     subject: CN=R3,O=Let's Encrypt,C=US
dirmngr[813093.6] DBG:   hash algo: 1.2.840.113549.1.1.11
dirmngr[813093.6] DBG:   SHA1 fingerprint: A053375BFE84E8B748782C7CEE15827A6AF5A405
dirmngr[813093.6] DBG: END Certificate
dirmngr[813093.6] DBG: BEGIN Certificate 'server[2]':
dirmngr[813093.6] DBG:      serial: 4001772137D4E942B8EE76AA3C640AB7
dirmngr[813093.6] DBG:   notBefore: 2021-01-20 19:14:03
dirmngr[813093.6] DBG:    notAfter: 2024-09-30 18:14:03
dirmngr[813093.6] DBG:      issuer: CN=DST Root CA X3,O=Digital Signature Trust Co.
dirmngr[813093.6] DBG:     subject: CN=ISRG Root X1,O=Internet Security Research Group,C=US
dirmngr[813093.6] DBG:   hash algo: 1.2.840.113549.1.1.11
dirmngr[813093.6] DBG:   SHA1 fingerprint: 933C6DDEE95C9C41A40F9F50493D82BE03AD87BF
dirmngr[813093.6] DBG: END Certificate
dirmngr[813093.6] TLS connection authentication failed: General error
dirmngr[813093.6] error connecting to 'https://openpgpkey.torproject.org/.well-known/
        openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf?l=torbrowser': General error
dirmngr[813093.6] command 'WKD_GET' failed: General error <Unspecified source>
dirmngr[813093.6] DBG: chan_6 -> ERR 1 General error <Unspecified source>
dirmngr[813093.6] DBG: chan_6 <- BYE
dirmngr[813093.6] DBG: chan_6 -> OK closing connection
dirmngr[813093.6] handler for fd 6 terminated
dirmngr[813093.0] running scheduled tasks (with network)
dirmngr[813093.0] running scheduled tasks
dirmngr[813093.0] running scheduled tasks

Now WTF!?! The ISRG X1 root CA is loaded as a system CA certificate, what is going on here? Whatever one tries, you just seemingly can't get past this error. Searching the web then points to SKS pool CA which one e.g. on Arch Linux has to include in ~/.gnupg/dirmngr.conf as: 

hkp-cacert /usr/share/gnupg/sks-keyservers.netCA.pem

Now this leads to the interesting point that dirmngr refuses the above certificate as expired. And there won't be any new SKS CA for sure. So what? Another lengthy online research turns out that the wisdom of the GnuPG developers is without any limits - and as such they decided that a trusted root CA is for sure not a trusted HKP CA. So, to get things working again one has to find the local system's storage of the ISRG X1 CA and make ~/.gnupg/dirmngr.conf to contain the following (path below is for Arch Linux):

hkp-cacert /etc/ca-certificates/extracted/cadir/ISRG_Root_X1.pem
keyserver hkps://keys.openpgp.org

Kill dirmngr and restart all over. You will be surprised that with this well thought out and and perfectly documented configuration gnupg suddenly starts to work again.

So something that should have worked out of the box has taken me half a day to trace down and adjust back to working order. Now I know what I'm doing when tracing thing down. Ordinary users don't. No wonder gnupg is as disliked as it is. This is just disgusting.

And, oh, try to use dirmngr while there is a short upstream network outage and see how happily this oh so well coded beast starts to consume 100% cpu, as GnuPG developers seemingly despise select, poll and similar calls, they do prefer to do a polling loop at any cost. Maybe they're stakeholders of certain CPU producing companies...


mosh - the dead shell13.09.2023

mosh would be beautiful to use as its designed for high latency links as well as for lossy networks - if it would only support TCP as an alternative communication mode.

The only place where I do encounter untolerable high latencies for interactive typing is emergency access to my home systems using onion routing. Thats when either there's a DNS failure or ssh access is blocked by some proxy. And that's exactly when you can't use mosh as it has a more than 10 years old PR for TCP support that continues to get ignored.

Usually the speed of your TCP based ssh connection is sufficient and you don't need mosh. And if not chances are that you can't use mosh anyway due to UDP insistance. Thats what I call a dead horse.


Und schon wieder Lancom12.09.2023

Ja, Lancom macht alles gaaanz sicher. So sicher, das man es erst einmal nicht nutzen kann. Denn man muss erst die Dokumentationsvariante finden, in der sich der entscheidende Hinweis befindet.

Ok, NPTv6 hört sich erst einmal gut an, eine fixe interne 64-Bit ULA, die vom Router auf die sich immer ändernde externe Adresse gemappt wird, macht ja vieles einfacher. Doch dann sucht man die externe Adresse und wundert sich über die "Verunstaltung". Nach längerer Suche findet sich dann in einer Lancom Dokumentation (aber nicht in den anderen durch die Suchmaschinen aufgefundenen) der schüchterne Hinweis auf RFC6296.

Und RFC6296 beschreibt, was es mit der "Verunstaltung" der externen Adresse auf sich hat. Da bleibt einem nichts anderes übrig, als ein Tool zu schreiben, dass aus dem externen Prefix und der internen Adresse die tatsächlich vom Router verwendete Adresse generiert.

Der Clou dabei ist, dass dieser RFC als "Experimental" gekennzeichnet ist und somit keinen Standard darstellt. Warum wird als bei der doch so auf Sicherheit bedachten Firma Lancom als experimentell gekennzeichneter Kram als "Standard" implementiert und warum findet sich der Hinweis nicht in jeder Dokumentation zu NPTv6? Hätte es nicht eine einfache n:n Network Translation auch getan? Warum muss jetzt jeder Code schreiben, um seine externe Adresse ohne externen Hilfs-Server zu finden?

Nebenbei bemerkt, die Qualität von RFC6296 kann man wohl auch daran messen, wie gut der Referenzcode funktioniert. Und der schlägt mit einem aktuellen Compiler fehl.

Als Sahnehäubchen darf dann jeder, statt ein Aktions-Skript auf dem Router nutzen zu können, im Fall von DynDNS die IPv6-Adresse händisch von einem "Server" im Netzwerk updaten, da das dank der RFC6296 Implementation durch den Lancom Router selbst nicht mehr möglich ist - es sei denn, man will die Adresse des Lancom-Routers selbst bekanntgeben, der aber für IPv6 kein Port Forwarding unterstützt...


Privilege Escalation in AppArmor07.09.2023

There is a privilege escalation in the Linux AppArmor LSM that is present in probably all kernels since July 2019 that can lead to full system compromise. Looking at the kernel code the Tomoyo LSM is probably affected, too (not tested).

As I'm trying to be fair I did post information about this to the AppArmor mailing list where it sits "awaiting moderator approval" since days. I'm slowly but steadily going to assume that AppArmor mailing list moderation effectively means "send to /dev/null"...

Thus I'm trying now to get a CVE assigned to this. I will post further information about the problem and a band aid fix on my Github account at a later stage.


sddm - The KDE way of breaking AppArmor02.09.2023

The thing is that sddm is and has always been a major problem. Disable suspend and hibernate on the login screen? Well, no such option, one has to patch the related QML file. And this is just for starters. Creating an AppArmor profile for sddm-helper is what on calls a PITA. Highly sensitive is the understatement of the day in case of this beast.

And even then if one gets the idea to confine systemd-logind with AppArmor sddm falls completely apart. And that's even when the systemd-logind profile is just in complain mode. As soon an systemd-logind gets an AppArmor profile sddm chokes and causes startplasma-x11 to hang forever. The relevant differences are in the process environment for startplasma-x11:

systemd-logind unconfined:

PAM_KWALLET5_LOGIN=/run/user//kwallet5.socket XDG_SESSION_ID= XDG_RUNTIME_DIR=/run/user/ 

systemd-logind in complain mode: 

PAM_KWALLET5_LOGIN=/tmp/kwallet5_ast.socket

The solution to this problem is to replace sddm by lightdm which happily ever after works when confined under AppArmor including systemd-login confinement in enforce mode. And as an extra feature the power stuff on the login screen can be disabled by simple configuration. Maybe KDE developers should book a course in DM programming at the lightdm academy...

Security a la systemd02.09.2023

Edit:

Actually the problem is a rare case of Arch Linux to blame first. Arch systemd is compiled without AppArmor support though I don't see any reason for this. Now, if I would be 20 years younger I'd recompile systemd. But age causes a little lazyness.

Nevertheless, why doesn't systemd complain when a security relevant feature is used that is not compiled in? The systemd stuff is usually so noisy that it kills off an SSD every other week by means of TBW. And just for things that are really relevant there's utter silence. Doh.

Original Post:

Yes, everybody has to use systemd. And as there is a broad user base it is well audited...

Now look at the systemd.exec documentation for AppArmorProfile=. Try to use this option in good faith. Doh, target process keeps unconfined. Now, let's remove this broken fake feature line and add aa-exec -p at the start of the ExecStart= string instead and watch your process being perfectly confined by AppArmor.

Well, it seems that security is not one of the strong systemd features. So I do suppose the strongest features are annoyance and frustration to make users change to that "easy" Redmond OS...

And don't anybody try to tell me "well, in general it works, but its broken in this or that release". From a security point of view any kind of brokeness of a relevant security feature means that you can not trust such code anymore, ever - except if you use this Redmond stuff where even a catastrophic key loss is played down as "well, can happen".


Ein großer Schritt seitwärts bei Snom24.08.2023

Ich habe mal ein Snom M80 DECT Telefon angeschafft. Gegen das Telefon an sich gibt es nichts zu sagen. Aber: Die Ladeschale ist so leicht, dass sie ohne das darauf befindliche Telefon bereits vom dünnen Netzkabel in Bewegung gesetzt wird. Und dann die Lade-LED: Beim M65 war das ein dezentes dunkles Blau. Das hat wohl die Nacht nicht gut genug erhellt. Deswegen nun ein hell stahlender grüner Punkt. Bezüglich Ergonomie insbesondere in Bezug auf Augenfreundlichkeit haben die Entwickler bei Snom wohl noch nichts gehört. Dazu dann noch ein USB Netzteil, dass von seiner Bauform her extrem klobig ist. Hatte ich schon erwähnt, dass das M80 ja IP65 zertifiziert ist, die Ladeschale dagegen, die man dann möglicherweise auch in feuchteren Räumen betreibt, eine USB-Buchse - natürlich ohne Abdeckung - besitzt?

Und dann das M900. Ja, laut Snom kann man es auch aufstellen. Das sollen die mal vorführen. Es gibt keinen Standfuß und der Ethernetkabelauslass ist so gestaltet, dass man zum einen das Kabel zwingend heftig knicken muss und dann starrere geschirmte Kabel, die sich zurückformen, das leichte M900 sofort "flachlegen". Nun, möglicherweise gibt es ja irgendwann einen "Tischadapter" als Zubehör, natürlich gegen Aufpreis...

Allerdings - und das ist ein Fortschritt - kann man auf dem M900 (vermutlich) ab Softwareversion BS530 (mit der Werksversion, eine frühe 500er geht das nicht) ein Webserver-Zertifikat nebst private Key recht einfach installieren - wenn man denn herausfindet, wie. Es braucht das Zertifikat und den Private Key (kennwortlos) im PEM-Format. Ich habe 2048 Bit RSA verwendet, mit anderen Schlüsseltypen möge man es selbst testen. Dann die Dateiauswahl im Browser bemühen und dabei gefissentlich den irreführenden Web-Text bezüglich ".cer" und ".key" ignorieren. Und nun der Trick. In der Dateiauswahl des Browsers müssen sowohl Zertifikat als auch Private Key gleichzeitig ausgewählt werden, d.h. nach dem OK muss im Dateiauswahlfeld ein Text bezüglich zweier Dateien stehen. Dann den Upload starten und schon hat man sein eigenes Webserver-Zertifikat auf dem Gerät. Den wesentlichen Hinweis, dass das so zu handhaben ist, habe ich in einer US-Dokumentation gefunden, die deutsche Doku hierzu enspricht dem Schweigen der Lämmer.

Ach ja, bevor ich es vergesse: Die Replikation zwischen im Verbund betriebenen M900 Geräten ist etwas übereifrig. Das Webserver-Zertifikat nebst Private Key wird nämlich ebenfalls repliziert. Das sollte man bei der Zertifikatserzeugung beachten und SNI dafür nutzen, im Zertifikat die DNS-Namen aller im Verbund betriebenen M900 einzutragen.


Und noch einmal Lancom23.08.2023

Ja, mit der Sicherheit nimmt es Lancom ganz genau. Deswegen sind die Access Points der LX Serie so sicher, dass man kein Webserver-Zertifikat installieren kann, was zum einem mit dem normalen LCOS von Lancom ja möglich ist und was inzwischen jedes noch so popelige Gadget beherrscht. Nun, vielleicht entfernt Lancom ja noch die Möglichkeit der Zertifikatsinstallation aus dem normalen LCOS, damit sie auch dort dokumentieren können: "Speichern Sie einfach eine Ausnahme im Browser". Ja, Lancom, wie sicher! Das wird garantiert vom BSI gelobt!


Wifi PMKs can be harmful19.08.2023

If you run a environment with WLCs and a Radius server make sure that you are able to view the WLC stored PMKs for wireless clients and that you are especially able to delete a stored PMK on the WLC.

Otherwise a blocked or deleted user will have Wifi access until the PMK expires, which may take hours!