Nameserver und Schnapszahlen

Es ist ja nun schon eine Weile her, das Google mit seinem DNS-Dienst an den Start gegangen ist. Mit 8.8.8.8 und 8.8.4.4 hat sich Google dafür zwei einprägsame IP-Adressen ausgesucht, die die meisten Administratoren vermutlich bereits auswendig kennen.

Heute stellte sich mir dann folgende Frage: Gibt es vielleicht noch andere Server unter ähnlich interessanten Adressen?

Eine einfache for-Schleife lieferte die Antwort: Ja.

for I in `seq 1 223`; do echo -en "$I.$I.$I.$I\t\t"; dig +short +time=1 @$I.$I.$I.$I www.steve-meier.de 2>/dev/null; echo; done

Richtig geantwortet haben: 99.99.99.99, 112.112.112.112, 117.117.117.117, 157.157.157.157

Da haben wir den Eti-Salat

Nachdem Saudi-Arabien erst kürzlich in den Nachrichten war, weil sie gerne die Blackberrys im Land überwachen wollen (und das nun auch kriegen) bin ich durch den offenen Brief der EFF an Verizon erst auf das wirkliche Problem aufmerksam geworden.

Die Firma CyberTrust (mittlerweile von Verizon aufgekauft) hat im Dezember 2005 eine sogenannte Sub-CA für Etisalat, den staatlichen Telekomkonzern in Saudi-Arabien erstellt. Das klingt unspektakulär, bis man mal genauer über die damit verbundenen Möglichkeiten nachdenkt. Da die CyberTrust CA in so ziemlich jedem Browser “eingebaut” ist “erbt” die Etisalat-Sub-CA damit das Vertrauen. Der Browser erkennt also Zertifikate von Etisalat als gültig an. Selbstverständlich ist genau das der Sinn einer Sub-CA, aber hier liegt auch die Gefahr. So könnte Etisalat für beliebige Webseiten Zertifikate erstellen (z.B. Banking, regierungskritische Organisationen, usw.) und der unbedarfte Nutzer würde nicht einmal merken, das er nicht mit dem richtigen Server verbunden ist. Etisalat könnte sich, ohne großen Aufwand, in die SSL-Verbindung einklinken und alle sensiblen Daten im Klartext mitlesen. Eine ziemlich unangenehme Vorstellung, besonders wenn man weiß, das die Saudis es mit den Menschenrechten nicht so genau nehmen und bei Oppositionellen erst recht nicht.

etisalat_ca

GoDaddy, OCSP und Opera

Heute war es mal wieder soweit: Die Erneuerung eines SSL-Zertifikats stand an. Anstatt auf den vorherigen Anbieter Thawte zu setzen, der nicht schlecht, aber dafür extra teuer ist, griff ich also auf ein unglaublich günstiges Zertifikat von GoDaddy.com zurück.

In Sachen Browsererkennung, Verschlüsselungsstärke, etc. nehmen sich die beiden kaum etwas, so das das neue Zertifikat nach der Installation in Apache problemlos mit Firefox, Safari und Camino zusammenarbeitete. Der Test mit Opera (9.64) schlug jedoch fehl und zeigte statt des mit einem Schloss hinterlegten Domainnamens nur ein graues Fragezeichen. Was war passiert ?

GoDaddy bietet für seine Zertifikate einen OCSP-Service (Online Certificate Status Protocol) an, mit dem sie Zertfikate quasi binnen Sekunden widerrufen können, sollte ein Missbrauch festgestellt werden. Das ist eigentlich eine recht simple Weiterentwicklung der CRL (Certificate Revocation List), die es schon seit langem gibt, die aber nicht realtime-fähig war. Anscheinend muss man nun neue Zertfikate, wie einen guten Schinken, erst einmal 1-2 Stunden reifen lassen, bevor man sie auf das Netz loslässt. Erst dann weiß der Godaddy-OCSP-Server offenbar etwas mit diesem Zertifikat anzufangen und bestätigt es interessierten Browsern wie Opera.

Nordkorea und die Rückversicherer

Nordkorea entwickelt sich langsam zu einem meiner Lieblingsthemen. Nicht, weil ich das gut heiße, was da abgeht, oder mit der Kim-Familie, dem Kommnismus oder sonst wem sympathisiere, sondern weil es einfach nur amüsant und erschreckend zugleich ist, wie der Machthaber Kim Jong Il dem Rest der Welt auf der Nase rumtantzt. Beispiel gefällig ?

Nordkorea zockt die Rückversicherer ab

Ganz großes Kino ! Mich hat es sowieso gewundert, wie in einem Land, wo wirtschaftlich kaum was los ist so riesige Zugunglücke passieren können. Das könnte eine Erklärung sein. Das Highlight des Artikels ist so schön, das muß ich hier nochmal zitieren:

Man [die Rückversicherer] sei immer noch davon überzeigt, dass es sich um einen Betrug handele, sagt ein anderer Versicherungssprecher, der namentlich nicht genannt werden möchte. “Aber wie will man einen staatlichen Betrug nachweisen? Wer soll das bezeugen, und dann auch noch in einem totalitären Staat wie Nordkorea?” Da das “schwierig, wenn nicht gar unmöglich” sei, hätten die betroffenen Versicherungen einer Zahlung zugestimmt. (Quelle: Spiegel Online)

TemporaryInbox.com is for sale

Schade. Nachdem TemporaryInbox schon in den letzten Wochen irgendwie technisches Schwierigkeiten hatte ist die Seite nun wohl erstmal auf längere Sicht offline. Der One-Time-eMail Service war dabei sehr hilfreich, wenn man eine Mail erhalten musste, aber dennoch seine echte eMail-Adresse nicht preisgeben wollte.

Aber wie das ist so, im Internet, ist auch hier Ersatz nicht all zu schwer zu finden: Mailinator bietet einen ähnlichen Dienst und kann sich als Alternative durchaus sehen lassen.