Als ich kürzlich im Krankenhaus war, fiel mir auf, dass sich einer der von mir regelmäßig gelesenen Blogs nicht mehr in meinen RSS-Reader laden ließ.
Alle anderen Blogs erschienen dagegen ganz normal.
Selbstverständlich hatte ich den entsprechenden Compiler auf meinem Notebook installiert, und so steppte ich in den Code hinein, um herauszufinden, was los war.
Dabei entdeckte ich – mit Hilfe passender Breakpoints – ziemlich schnell, dass dieser Feed plötzlich auf HTTPS weitergeleitet wurde. Mein Reader kam zwar mit dem Redirect zurecht, nicht aber mit SSL.
Dieses Verhalten konnte ich auf anderen Rechnern mit anderen Betriebssystemen und Browsern reproduzieren. Es lag also nicht an irgendwelchen Einstellungen oder was auch immer auf meinem Rechner.
Der betreffende Blogger meinte auf meine Nachfrage hin, er hätte nichts geändert, und vermutete, dass es an WordPress läge.
Hm, angeblich bevorzugt Google SSL-Seiten in seinem Ranking. Dies wäre eventuell eine Motivation für eine Umstellung.
Also wollte ich SSL-Unterstützung hinzufügen. Allerdings kam immer die Fehlermeldung, dass eine bestimmte Resource in der DLL nicht lokalisiert werden konnte. Ich probierte es mit verschiedenen Versionen der OpenSSL-Library, aber keine spielte mit meinem Programm zusammen.
Naja, ich hatte noch einen anderen Compiler dabei, mit dem ich bereits einmal in einem anderen Projekt SSL-Unterstützung implementiert hatte.
Da gab es natürlich erst mal ein paar Inkompatibilitäten, die ich aber einfach ignorierte. Ich war schon ziemlich weit, als ich feststellen musste, dass diese Compilerversion nicht mit dem benutzten XML-Parser klarkam. Fac!
Als ich wieder daheim war, probierte ich es dann nochmal mit einem anderen Compiler. Und siehe da, hier klappte es auf Anhieb.
Naja, das Executable ist jetzt zweieinhalb mal so groß wie das alte. Und die Oberfläche sieht etwas anders aus, weil das XP-Manifest in den Resourcen inkludiert ist. Aber das stört mich nicht wirklich. Hauptsache, es funktioniert wieder.
Dafür ist jetzt ein Aktualisierungsproblem wieder aufgetaucht, das ich mit dem ursprünglichen Compiler bereits gelöst hatte. Aber auch das ist nur ein Schönheitsfehler, keine ernsthafte Einschränkung der Funktionalität.
Inzwischen scheint der Redirect auf secure Seiten wieder aufgehoben. Das muss man nicht verstehen.
breakpoint 
Es ist doch immer wieder grausam, zu sehen, wie viel Traffic immernoch unverschlüsselt durchs Netz geht. Ich kann nur hoffen, dass das bei nicht privat genutzten Daten (sondern, was Firmen so übertragen) anders ist, sonst braucht sich wirklich niemand über Wirtschaftsspionage zu wundern oder beschweren. Wobei, ich kenne keine einzige Firma, die E-Mails PGP-verschlüsselt senden oder empfangen kann…
Und dass es dann auch noch so viele Anwendungen gibt, die mit einfacher SSL-Verschlüsselung nicht klarkommen, ist auch ein Armutszeugnis (wenn auch diese Aussage natürlich nicht für Selbstprogrammiertes zutrifft, weil man das ja nur für sich selbst benutzt, und nicht zum allgemeinen Gebrauch veröffentlicht).
Anderthalb Jahre nach Snowden, und die Welt hat nichts dazugelernt!
LikeLike
Genau, diese Anwendung ist nur für meinen privaten, persönlichen Gebrauch.
Und ich sehe auch keinen großen Sinn darin, SSL-Feeds von Blogs besonders zu sichern. Die sind ja sowieso öffentlich und nur dafür da, schnell und automatisiert ausgewertet zu werden.
Mit den PGP-verschlüsselten Mails ist das so eine Sache. Ich habe mir mehrfach überlegt, ob ich das bei mir (und auch in der Firma) so einrichten soll.
Vom Aufwand abgesehen, ist die Crux halt die, dass die Gegenstelle auch mit PGP-verschlüsselten Mail umgehen können muss. Dies ist normalerweise nicht gewährleistet. Deshalb lasse ich das.
Bei besonders vertraulichem oder schützenswertem Inhalt hänge ich einen verschlüsselten Anhang an, und lasse das Passwort dem Empfänger auf anderem Weg zukommen.
LikeLike
Ja, Verschlüsselung ist auch heute noch viel zu selten. Klar, RSS-Feeds braucht man nicht zu verschlüsseln, da die Beiträge ja öffentlicht sind. Allerdings: ein bißchen schwerer machen kann man es der NSA ja damit schon – und wenn sie halt nur etwas mehr Rechenleistung brauchen (und ja, wenn ich richtig hingucke, merke ich, dass wir das sowieso wieder alles von unseren Steuergeldern zahle).
Bei Mail und anderen Dingen ist es äußerst sinnvoll. Welche Art von Anhang versendest du denn verschlüsselt?
LikeLike
Wir in Deutschland finanzieren die NSA? Das ist mir jetzt allerdings neu.
„Welche Art von Anhang versendest du denn verschlüsselt?“
Unterschiedliche Anhänge. Und du wirst ers mir nachsehen müssen, wenn ich da nicht konkreter werden möchte.
Größere Dateien lasse ich lieber direkt von einem Server downloaden, aber auch da ggf. verschlüsselt und geschützt durch ein Passwort.
LikeLike
Und bei Downloads vom Server ist schon eine SSL-Verbindung sinnvoll, zusätzlich zur Verschlüsselung der Datei.
Allgemein stimme ich ednong zu, dass so viel wie möglich verschlüsselter Datenverkehr produziert werden sollte, schon um das Ausschnüffeln von sämtlichen Daten etwas aufwändiger/teurer zu machen. Und zwar auch triviales Zeug, nicht aus Geheimhaltung (was öffentlich ist, kann man ja eh nicht geheim halten), sondern einfach, weil so das wichtige, verschlüsselte Zeug nicht so leicht aus dem ansonsten unverschlüsselten Datenverkehr hervorsticht.
Ebenso sollte natürlich jeder E-Mail-Client die Mails verschlüsselt abrufen/versenden (POP3/IMAP/SMTP), und wenn man wichtige Mails hat, ist PGP trotzdem noch besser. Ja, es ist nicht trivial einzurichten und zur Bedienung braucht es auch eine Schulung, aber wenn niemand den Anfang macht, weil es ja eh niemand sonst hat, dann ist da Stillstand vorprogrammiert. Wenn sich PGP bei Mails schon weiter durchgesetzt und verbreitet hätte, dann wäre es auch nicht so leicht, der Bevölkerung mit hahnebüchenem Unsinn wie „de-Mail“ Sand in die Augen zu streuen. Bei PGO-Mails gibt es wenistens keine Umkehr der Beweispflicht, und zudem auch noch echte Verschlüsselung (was bei einem reinen Webmail-Client schon aus technischer Sicht gar nicht möglich ist).
LikeLike
Oh ja, ich schließe mich dem Aufruf zur SSL-Verschlüsselung sämtlicher Websites an.
Da freuen sich meine Verisign-Aktien. :>
De-Mail ist natürlich unsinnig – insbesondere wenn viele Kunden im Ausland sitzen.
LikeLike
Ich habe leider häufiger Probleme mit dem RSS-Feed in der Richtung. WordPress scheint da merkwürdige Sachen zu machen. Vielleicht auch nur bei mir.
Würde mich interessieren, woran es liegt? Zugriffszahlen evtl?
LikeLike
Ursachenforschung ist bei Softwarephänomenen immer so eine Sache. 🙄
Dein Feed läuft eigentlich stabil. Außer dem vorübergehenden Redirect vor etwa zwei Wochen ist mir da noch nichts merkwürdiges aufgefallen.
Wordpress sollte auch genügend Resourcen haben, um mit hohen Zugriffszahlen klar zu kommen.
LikeLike
Ich meinte das mit der Verschlüsselung in diesem Sinne:
http://heise.de/-2457707
Klar, das ist Zukunft, aber warum nicht den Schnüfflern das Leben so schwer wie möglich machen, egal um was es geht…
(PS: Ich hab keine Ahnung, ob ich hier nochmal dran denke reinzuschauen und eine Antwort sehe, oder nicht, der Eintrag ist ja schon recht alt…nur der Link passte halt, beim Lesen musste ich hieran denken.)
LikeLike
So hatte ich das auch vestanden. HTTPS statt HTTP.
Dass manche Leute unverschlüsselte Daten auf Cloud-Diensten wie Dropbox sichern, ist wieder ein anderes Problem.
Ich habe für bestimmte Fälle meine eigenen Verschlüsselungsroutinen. Tja, wenn schon auf TrueCrypt kein Verlass mehr ist…
LikeLike
Dass auf TrueCrypt kein Verlass mehr ist, ist nicht gesagt. Die Entwicklung wurde halt eingestellt, aber die vorletzte Version sollte eigentlich weiterhin funktionieren. Natürlich habt Ihr bedauernswerten Windows-User da auch keine betriebssystemeigene Alternative, um Eure Festplatten zu verschlüsseln (Bitlocker hat ja mit großer Wahrscheinlichkeit ein NSA-Backdoor, und wie wir wissen, nutzen Geheimdienste sowas auch gerne mal für Industriespionage zu Gunsten der „eigenen“ Wirtschaft aus)…
Naja, einzelne Dateien (bzw. Ansammlungen aus mehreren Dateien in einem Verzeichnis dann eben per .tar.bz oder so zusammengepackt) lassen sich ja auch sehr gut per PGP verschlüsseln.
Aber ja, es geht schon auch darum, das „Grundrauschen“ des Traffics komplett verschlüsselt zu gestalten, denn so wird das „Ausfiltern“ von relevanten Informationen (egal ob sie darüberhinaus auch noch mal ende-zu-ende-verschlüsselt sind, oder nicht) auch schon erschwert, und sei es nur, dass die Schnüffeldienste ein paar fette Numbercruncher und ein paar Megawatt mehr Leistung brauchen… 🙂
LikeLike
„Using TrueCrypt is not secure as it may contain unfixed security …“
Ich nutze es aber trotzdem noch, weil ich dadurch vor allem verhindern will, dass die Konkurrenz meine Sourcen ausspäht.
LikeLike
NeunhundertsechsNichts ist beständig, außer dem Wandel.
Aber nicht jede Änderung ist auch zum Guten.
So hatte ich schon über Google Redirects und Verschlüsselung von Suchanfragen gebloggt.
Wordpress stellte Ende des letzten Jahres auf HTTPS um, was mir im Oktober…
LikeLike
Pingback: Tausendsechsundfünfzig | breakpoint
Pingback: Neunhundertsechs | breakpoint
Pingback: DLL Hell //2138 | breakpoint
Pingback: Der Hölle entkommen //2521 | breakpoint