fehrnetzt ab sofort nur noch per TLS / SSL erreichbar

Es war längst überfällig – aber man kommt ja zu nichts… ;)

Nun habe ich aber endlich dieses Blog nicht nur kosmetisch etwas überarbeitet, sondern eine wichtige technische Änderung umgesetzt: fehrnetzt ist ab sofort nur noch verschlüsselt per TLS / SSL (erkennbar an der URL „https://…“) erreichbar!

Warum?

Im Wesentlichen aus Prinzip. Weil nicht erst seit den Veröffentlichungen Edward Snowdens klar sein sollte, dass Informationen nicht streng geheim sein müssen, um geschützt zu werden.

Um das Internet insgesamt sicherer zu machen, fordert Google daher schon seit 2014 „HTTPS Everywhere“.

Für Euch ändert sich dadurch nicht viel – außer, dass Ihr jetzt bei einem Aufruf des Blogs von Eurem Browser signalisiert bekommt, dass Ihr über eine verschlüsselte Verbindung auf fehrnetzt zugreift:

Anzeige in Chrome für Windows

Alter Wein in neuen Schläuchen – The Kleinenbroicher reloaded

Ich habe 2009 damit begonnen, regelmäßig zu bloggen. Nach ca. 2 Jahren auf Twitter wollte ich einfach mal mehr als 140 Zeichen zusammenhängend von mir geben.

Im Laufe der Jahre habe ich mehrfach die Blog-Plattformen gewechselt, bevor ich dann letztlich beim selbstgehosteten WordPress gelandet und bis heute hängengeblieben bin.

Beim Umzug habe ich damals nur die vermeintlich „wichtigen“ Posts importiert. Nun habe ich aber meine alten Beiträge bei „The Kleinenbroicher“ auf Blogger.com wiedergefunden – ich wusste gar nicht, dass sie dort noch liegen. Und ich las gerne in dem einen oder andere Beitrag nach, was mich damals beschäftigte.

Daher habe mich entschlossen, die alten Posts jetzt nach und nach hierhin zu importieren, um meine Blogger-Geschichte an einem Ort zu haben.

Hacker-Angriff auf fehrnetzt: WordPress hielt stand!

Was für ein Tag!

Nachdem heute Morgen die Meldung über bis zu 1,2 Milliarden gehackte Profil-Daten die Runde machte, war ich – wie viele von Euch sicher auch – zunächst einmal verunsichert genug.

Im Laufe des Vormittags begann dann aber eine weitaus persönlichere Attacke auf dieses Blog bzw. dessen WordPress-Installation. Ähnlich wie bei der Angriffswelle auf WordPress-Blogs vor etwas über einem Jahr versuchte „man“, d.h. in diesem Fall unzählige Rechner eines mutmaßlichen Bot-Netzes, sich als Administrator im WordPress-Backend anzumelden. Um dies vorweg zu nehmen – es gelang nicht, weil ich u.a. folgende Sicherheitsvorkehrungen getroffen habe:

  • Mein Administrator-Account entspricht nicht dem Standard (‚admin‘) – und auch keinem der anderen User-Namen, mit denen es versucht wurde
  • Mein Passwort ist ziemlich sicher und individuell
  • Ich verwende das Plugin ‚Limit Login Attempts‘, welches mich überhaupt erst auf die Angriffe aufmerksam gemacht hat

Und so trudelten von heute morgen gegen 11 h bis ca. 18h unzählige e-mails bei mir ein, in denen mir von vergeblichen Login-Versuchen und deswegen gesperrten IPs berichtet wurde.

Einige der IP-Adresse habe ich überprüft – wie vermutet stammten sie aus aller Welt (Saudi-Arabien, Neuseeland, etc.).

Insgesamt wurden dabei ca. 1700 IP-Adressen registriert, von denen ca. 4400 versuchte Logins ausgingen.

Wer sich für die Details interessiert findet hier bei Pastebin das Protokoll des Angriffs.

fehrnetzt jetzt auch bei Google Currents

Eine kurze Meldung in eigener Sache:

Heute las ich im Google Watchblog, dass Google für seinen Dienst Google Currents offenbar ein größeres Update plant.

Ob es sich dabei wirklich um einen „Reader 2.0“ handelt oder uns andere Dinge erwarten sei dahingestellt. Ich war jedenfalls der Ansicht, dass dies ein guter Zeitpunkt ist, um meinem Blog endlich auch einmal eine Google Currents Edition zu spendieren.

Und nun ist es soweit, über diesen Link könnt Ihr fehrnetzt nun auch bei Google Currents lesen und abonnieren.

Falls Ihr Google Currents noch nicht auf Eurem Android- oder iOS-Gerät installiert habt könnt Ihr das gleich hier nachholen:

Google News
Google News
Entwickler: Google, Inc.
Preis: Kostenlos
Die App konnte im App Store nicht gefunden werden. :-(

Verträgt sich Jetpack Comments nicht mit deutschem Datenschutz?

Die Jetpack-Pluginsammlung für WordPress bietet einige nützliche Erweiterungen für das Blog. Kürzlich wurde mit einem Update auch ein komfortabler Ersatz für die Standard-Kommentarfunktion eingeführt, der den einfachen Login des Lesers über seine Accounts bei WordPress, Twitter oder Facebook erlaubt:

Jetpack Comments

Mir hat das ganz gut gefallen, und als Bestandteil von Jetpack hätte ich eigentlich auch eine hohe Kompatibilität erwartet. Leider wiesen mich kurz nach der Aktivierung des neuen Kommentarsystems Leser darauf hin, dass sie keine Kommentare abgeben konnten. Sie wurden mit der Fehlermeldung

Invalid security token. Error

konfrontiert, der Kommentar wurde nicht übernommen.

Nachdem ich Google bemüht hatte war schnell klar: Die neue Kommentarfunktion veträgt sich nicht mit dem von mir eingesetzten Antispam-Plugin „Antispam Bee“. Dieses wiederum setze ich ein, weil sich das Standard-Antispam-Plugin Akismet nicht mit dem deutschen Datenschutzrecht verträgt, weil zur Prüfung der Kommentare Daten in die USA versendet werden.

Zwar wurde zur Entschärfung der rechtlichen Probleme von Akismet das Plugin Akismet Privacy Policies entwickelt – aber auch dieses verträgt sich nicht mit der neuen Kommentarfunktion von Jetpack und führt zu der o.a. Fehlermeldung!

Zunächst hatte ich auf eine Lösung bei einer der beiden Antispam-Lösungen gehofft. Nun habe ich aber eine Analyse von Jetpack Comments durch Sergej Müller, dem Entwickler von Antispam Bee, gefunden. In seinem Beitrag „Speichert Jetpack Comments Nutzerkommentare in den USA?“ geht er zwar nicht auf die Ursache für die o.a. Fehlermeldung ein, zeigt aber auf, dass durch den Einsatz der Jetpack Comments grundsätzlich ein neuer Konflikt mit dem Datenschutzrecht entstehen könnte.

Daher werde ich hier auf fehrnetzt.de weiterhin auf den Einsatz von Jetpack Comments verzichten und empfehle dies auch erst einmal allen anderen WordPress-Bloggern.