Qbi's Weblog

Backblaze ist eine amerikanische Firma, die Speicher- und Backupplatz anbietet. In deren Servern sind über 2500 SSDs verbaut. Backblaze fing im Jahr 2018 an, diese Art von Speicher zu nutzen und ersetzt seither die drehenden Platten (HDDs). Nun fragt sich die Firma immer mal wieder, wie belastbar die SSDs im Vergleich zu den HDDs sind. Im letzten Review gibt es einige Antworten dazu.

Dazu vergleicht die Firma Speichermedien, die als so genannte Bootgeräte zum Einsatz kommen und in etwa gleich alt sind. Bootgerät heißt bei Backblaze, dass die Server hiervon gestartet werden. Weiterhin werden Logdateien und temporäre Dateien auf die Speicher geschrieben. Sowohl HDD wie auch SSD vollführen gleiche Aufgaben.

Bisher hatten die Fehlerraten in etwa den gleichen Verlauf. Die SSDs lagen von den Werten leicht unterhalb der HDDs. Dieses Jahr ist nun das fünfte Jahr der Betrachtungen und hier gingen die Zahlen deutlich auseinander. Während bei den HDDs ab dem 5. Jahr ein deutlicher Anstieg der Fehlerraten zu beobachten ist, bleibt der bei den SSDs in etwa gleich.

Auf der Speichertestseite von Backblaze könnt ihr die weitere Entwicklung verfolgen und auch die Rohdaten herunterladen. Die Firma geht derzeit davon aus, dass die Fehlerraten der SSDs zu einem späteren Zeitpunkt steigen und wollen solange einen Blick auf deren SMART-Werte werfen. Ich bin sehr gespannt, wie lange der Vorteil der SSDs anhält und werde hin und wieder mal die Seiten von Backblaze checken.

Im Rahmen der Corona-Pandemie gibt es immer mal wieder Diskussionen um die Übersterblichkeit. Das ist die Zahl an Menschen, der im Vergleich zum “Durchschnitt” mehr verstorben sind. Wenn es beispielsweise eine Krankheitswelle gibt, die auch in mehr toten Menschen resultiert, lässt sich das in den Kurven ablesen. Von EuroMOMO sind Zahlen für europäische Länder verfügbar.

Zur Erklärung des Sachverhalts seht ihr eine Grafik für Kinder von 0 bis 14 Jahren:

Die Grafik der Übersterblichkeit bei Kindern bietet einige interessanten Eigenheiten, denn hier gibt es ja nach Jahr unterschiedliche Verläufe:
Die braune Linie aus dem Jahr 2017 schwankt um die Nulllinie, d.h. hier gab es nahezu keine Übersterblichkeit. Deutlich anders sah es im Jahr 2019 (gelbe Linie) aus. Dort stieg die Linie die ersten vierzehn Wochen an, danach blieb die Linie in etwa gerade und ab der 45. Woche stieg die Kurve wieder an. Das heißt, sowohl zu Anfang wie auch zu Ende des Jahr starben deutlich mehr Kinder als normalerweise zu erwarten wäre. Ein Grund hierfür ist mir nicht bekannt. Ebenso interessant sind die graue und die dunkelblaue Linie. Die graue Linie des Jahres 2020 fällt ab der Woche 15 ab und geht sogar in den negativen Bereich. Die dunkelblaue Linie fällt auch ab und ab der Woche 21 mit dem Anstieg an. Die Übersterblichkeit liegt dann Ende des Jahres deutlich über der Erwartung. Dieses Jahr ist noch offen. Wenn man sich aber die hellblaue Linie anschaut, ist zu erwarten, dass die über dem sehr hohen Niveau von 2019 liegt.

Schaut euch die Charts bei EuroMOMO mal in Ruhe an. Dort könnt ihr nach anderen Altersgruppen oder auch der Gesamtbevölkerung wählen. Weiterhin gibt es dort weitere Grafiken zur Übersterblichkeit. Das ist recht interessant.

Das Gesundheitsministerium von Singapur hat die Betrachtungen zur Übersterblichkeit in der Gesamtbevölkerung etwas professioneller gemacht, als es uns Laien möglich ist. Die Ergebnisse liegen in Form des Berichts “Report on excess mortality during the COVID-19 pandemic up to June 2022” (lokale Kopie) vor.

Demnach gab es eine Übersterblichkeit von 2490 Personen über die letzten 2,5 Jahre im Vergleich zum Jahr 2019. Mehr als die Hälfte davon starben direkt an COVID-19. Der verbliebene Teil verstarb innerhalb von 90 Tagen nach einer COVID-19-Infektion. Man könnte sagen, dass diese indirekt auch an Corona gestorben sind. In der nichtinfizierten Bevölkerung wurde keine Übersterblichkeit gefunden.

Laut des Reports gab es in der Zeit keine Überlastung der Krankenhäuser. Diese schienen nach deren Maß über den Zeitraum wie gewohnt zu funktionieren.

Das Gesundheitsministerium stellt in dem Bericht auch fest, dass die ungeimpfte Bevölkerung (etwa 5% bis Mitte März 2022) überdurchschnittlich an der Zahl der Toten beteiligt ist. 28 % der Toten waren nicht vollständig geimpft.

Die beiden Grafiken zeigen den Vergleich der Zahl der Fälle und Toten zwischen Singapur und Deutschland. Bei annähernd gleicher Zahl an Fällen hat Singapur nur etwa ein Zehntel der Toten. Offensichtlich kann man die Pandemie auch anders managen.

Update: Nach einer Diskussion auf Mastodon habe ich einige Formulierungen klarer gemacht und beschrieben, warum oben die Rede von Kindern und in dem Bericht aus Singapur die Gesamtbevölkerung gemeint ist. Im erweiterten Eintrag sind nun auch die großen Bilder aus der obigen Galerie.

Vor ein paar Tagen bat ich euch, mir eure Passwörter zu zeigen. Folgende kleine Sammlung kam dabei heraus. Vielen Dank an alle, die mitgemacht haben!

Update: Nach dem Beitrag gab es noch ein paar andere Bilder:

• jomo brachte hunter2 ins Spiel:
• @Hoffmann bot die Nummer des Zahlenschlosses an:
• Das sicherste Passwort der Welt fehlte natürlich noch (via @fairsuchen):

Was haben die beiden unten stehenden Bilderkollektionen gemeinsam?

Auf den ersten Blick sehen beide komplett unterschiedlich aus und es ist vielleicht noch nicht einmal klar, woher diese stammen. Letzteres lässt sich leicht auflösen, da diese Art von Bildern in Form von Memes öfter auftauchen: Sie sind mit einer künstlichen Intelligenz erzeugt worden. Die Eingabe bei beiden Bildern waren die jeweils meistgenutzten Passwörter, nämlich password und 12345. Jetzt ratet mal, welches Bild welcher Eingabe entspricht.

Das Computerprogramm, welches die Grafiken erzeugt, nennt sich DALL-E und wurde von OpenAI entwickelt. Auf der Webseite CrAIyon könnt ihr mit der Software interagieren. Gebt einfach ein paar Begriffe in das Eingabefeld ein und wartet auf die Ausgabe. Die Idee ist, dass die Software aufgrund der Eingabe ein mehr oder weniger schönes Bild erzeugt. Aber es lässt natürlich beliebige Eingaben zu. Warum also mal nicht etwas “anderes” eingeben?

Im Bereich der IT-Sicherheit fallen einem vielleicht sofort Eingaben wie ' OR 1=1 oder <script>alert(1)</script> ein. Aber was spricht denn gegen Passwörter als Eingabe? Natürlich die Tatsache, dass man selbst verwendete Passwörter nie irgendwo in unklare Webseiten eingibt. Dennoch kann man CrAIyon ein wenig zum Spielen benutzen.

Ich habe mal ein Upload-Verzeichnis (auch als Tor-Onion-Service) für den nächsten Monat freigeschalten. Wenn ihr aus einem (Pseudo-)Passwort ein schönes Bild erzeugen könnt, ladet es mal hoch. Ich werde die dann hier im Blog später zeigen. Also:

Zeigt mir eure Passwörter!

Stellt euch vor, ihr lebt mit mehreren Personen in einer Wohnung und jemand von denen hat sich mit SARS-CoV-2 infiziert. Wie schafft ihr es, dass alle anderen uninfiziert bleiben? Vor knapp zwei Jahren habe ich mir die Frage gestellt und mir ein “Konzept” überlegt. Über diesen Zeitraum habe ich immer mal wieder darüber nachgedacht und Änderungen vorgenommen. Nun kam der Zeitpunkt, wo ich mein Konzept mal live testen kann und weitere Änderungen machte. Ich will euch meine Ideen mal unten vorstellen. Solltet ihr Verbesserungen oder Fragen haben, freue ich mich natürlich über Kommentare.

Das Corona-Virus ist hochansteckend. Derzeit geht die Variante Omikron in Form von BA.5 herum. Wie schon bei den Vorvarianten hört man immer wieder, dass ganze Familien erwischt werden. In einem Thread auf Twitter schätzt @fischblog die Wahrscheinlichkeit auf unter 50%, wenn man mit Infizierten in einem Haushalt lebt. Quelle scheint die Studie “Secondary Attack Rates for Omicron and Delta Variants of SARS-CoV-2 in Norwegian Households” zu sein. Diese etwa 50% würde ich nun gern auf 0% oder nahe 0% bringen.

Ziel

Wie ich schon schrieb, geht es mir darum, weitere Ansteckungen innerhalb des Haushalts auszuschließen bzw. das Risiko weitgehend zu minimieren.

Maßnahmen

Neben den untenstehenden Maßnahmen gibt es natürlich einiges in der Vorbereitung. Zuallererst steht für mich die Impfung. Alle sollten geimpft sein. Nach meiner Meinung heißt dass derzeit, dass die letzte Impfung gegen SARS-CoV-2 maximal ein halbes Jahr her ist.

Kurzversion

• Person isolieren
• Maske in der Wohnung tragen
• Wohnung gut lüften
• Viruzides Gurgeln
• Kontaminierte Gegenstände waschen, desifizieren oder wegräumen

Isolationszone

Innerhalb der Wohnung sollte es eine Isolationszone geben. Idealerweise ist das ein Zimmer, in dem sich die infizierte Person aufhält. Dort bleibt diese solange, bis sie wieder negativ getestet ist.

Generell erscheint mir wichtig, dass möglichst wenig Luft aus der Isolationszone in den Rest der Wohnung strömt. Das heißt, der Raum selbst sollte gut durchlüftet werden.

In der Isolationszone verbleiben auch alle Gegenstände, die die infizierte Person berührt (Teller, Besteck, Taschentücher, Nahrung etc.). So soll eine “Kontamination” möglichst vermieden werden. Problematisch sind Sachen, die gekühlt werden müssen sowie das Bad bzw. die Dusche. Hier sollte darauf geachtet werden, dass die Räume regelmäßig mit Seife gereinigt oder desinfiziert werden.

Isolation bedeutet aber auch, dass die Person wenig oder gar keinen Kontakt zu anderen hat. Dies ist auf Dauer belastend. Regelmäßige Videokonferenzen, Telefonate oder andere Fernkontakte sind daher wichtig. Beispielsweise kann die Person über einen Videoanruf am gemeinsamen Essen teilnehmen oder anderweitig mit eingebunden werden. Dies erleichtert die Zeit in Isolation enorm.

Belüftung

Das Virus sollte die Wohnung möglichst schnell wieder verlassen. In den warmen Tagen sollten einfach alle Fenster geöffnet sein. Aus meiner Sicht solltet ihr darauf achten, dass der Luftzug nicht Luft aus der Isolationszone anzieht. Unsere Wohnung ist glücklicherweise so beschaffen, dass ich über einen Luftstrom die Luft direkt aus der Wohnung leiten kann.

Für die kälteren Tage habe ich Luftreiniger beschafft. Eines steht in der Isolationszone und tut dort seine Arbeit. In den Aufenthaltsräumen steht auch mindestens einer. Dieser wälzt die Luft mindestens einmal um, bevor der Raum benutzt wird.

Masken

Ein einfaches und wirksames Mittel sind Masken. Wir tragen innerhalb der Wohnung eine FFP2-Maske. Dies ist für mich der Basisschutz, der immer funktionieren muss. Innerhalb unserer Wohnung gibt es einige Bereiche, die so gut belüftet sind und wo kein “infizierter” Luftstrom hinkommt, dort verzichten wir dann auf die Maske.

Hände waschen / desinfizieren

Es kann immer mal sein, dass man in Kontakt mit Gegenständen kommt, die auch die infizierte Person berührt hat. Insbesondere bei gemeinsam genutzten Räumen, wie Bad, besteht die Gefahr mit Virenrückständen in Kontakt zu kommen. Daher muss insbesondere in solchen Situationen ausführlich Hände gewaschen oder desinfiziert werden. Dabei ist Seife und warmes Wasser sehr wichtig.

Prophylaxe bei Exposition

Nun kann es immer sein, dass man mit Viren in Kontakt kommt. Hierzu gibt es eine Empfehlung der Gesellschaft für Krankenhaushygiene zum viruziden Gurgeln. Das heißt, Gurgeln mit

• Kochsalzlösung (1 Teelöffel auf 100 ml, 3 min)
• grünem Tee
• Listerine Cool Mint

und Anwendung von Algovir Nasenspray.

Dies reduziert die Virenlast und vermindert damit auch den Schweregrad der Erkrankung.

Entsorgung der kontaminierten Gegenstände

Wie oben beschrieben, verbleiben die Gegenstände zunächst in der Isolationszone. Diese werden von Zeit zu Zeit ausgeräumt. Geschirr wird sofort mit Seife abgewaschen. Müll wird ordentlich verpackt und in die Mülltonne gegeben.

Erfolgskontrolle

Ob die Maßnahmen funktionieren oder nicht, lässt sich letztlich schwer sagen. Einerseits weiß ich nicht, was ohne jegliche Vorkehrungen passiert wäre. Sofern man sich noch außerhalb der Wohnung bewegt und sich infiziert, ist andererseits auch oftmals unklar, wo die Infektion passierte.

Insgesamt gehe ich davon aus, dass die Maßnahmen sehr helfen, das Infektionsrisiko in der Wohnung abzusenken.

Update: Nach einem Hinweis auf Twitter habe ich den Link zum PDF für das viruzide Gurgeln aktualisiert. Die DGKH hat die Empfehlungen in diesem Jahr aktualisiert.

Wenn ich mich auf einem Server per SSH einlogge, starte ich in der Regel direkt die Software screen oder tmux. Dies sind so genannte Multiplexer. Sie erlauben es mir mehrere “Fenster” zu öffnen und auch wenn die Verbindung weg ist, werden die Befehle weiter abgearbeitet.

Im Normalfall gebe ich also zuerst ssh server ein und wenn ich dann auf dem Server eingeloggt bin, gebe ich screen -R oder tmux a ein. Viel schöner wäre es nun, wenn der letzte Schritt automatisiert geschehen würde. Man mag es kaum glauben, aber OpenSSH ist dazu in der Lage.

Hier hilft eine kleine Einstellung in der Konfigurationsdatei. Diese liegt normalerweise im Verzeichnis ~/.ssh und heißt config. Ein Eintrag könnte so aussehen:

Host server
  HostName server.example.com
  IdentityFile ~/.ssh/mein-geheimer-schluessel
  User jens

Mit der Eingabe ssh server verbindet sich SSH zu dem Rechner unter der Adresse server.example.com, nutzt den angegebenen Schlüssel und loggt sich als Nutzer jens ein. Mit den Optionen RemoteCommand und RequestTTY kann ich nun den gewünschten Effekt erzielen:

Host server
  HostName server.example.com
  IdentityFile ~/.ssh/mein-geheimer-schluessel
  User jens
  RemoteCommand screen -RD #oder tmux a
  RequestTTY yes

Nun führt OpenSSH den gewünschten Befehl aus und ich lande sofort in meiner gewünschten Sitzung.

Dies ist natürlich nur eine Kleinigkeit. Aber es nimmt mir einen kleinen Schritt ab und fühlt sich so bequemer an. Vielleicht probiert ihr es auch mal aus und erzählt von euren Erfahrungen.

Vor einiger Zeit fragte ich, was passieren würde, wenn jemand von geheimen Plänen berichten würde, dass Schulen “islamisiert” werden sollen. Die Reaktionen hielten sich in Grenzen. Jemand meinte, es würde mit den 3 L des Beamtenlebens bearbeitet:

• Lesen
• Lachen
• Lochen

In der Realität gab es leider nicht so banale Folgen auf diesen Brief. Vielmehr hatte dieser Brief massive Folgen, kostete einigen Menschen den Job und sorgte für einige Verunsicherung. Was ist passiert?

Anfang des Jahres 2014 tauchte in Birgmingham ein Brief auf, der mittlerweile als Trojan Horse Letter im Vereinigten Königreich weithin bekannt ist. Darin beschrieben die Autor:innen, dass sie unter dem Radar agieren und versuchen, Schulen zu “islamisieren”. Es wurde in dem Brief ein Vorgehen beschrieben, wie man das erfolgreich umsetzen kann und einige Schulen wurden genannt, wo dies angeblich erfolgreich durchgeführt wurde.

Im Brief wurde unter anderem Tahir Alam “beschuldigt”. Er hatte vorher sehr erfolgreich eine Schule gemanagt. Diese stand wegen schlechter Leistunge kurz vor der Schließung. Alam übernahm das Management und verbesserte die Schule. Vor Erscheinen des Trojan Horse Letters erhielten die Schule und er viele Preise und wurden hochgelobt. Durch die Auswirkungen des Briefes verlor er seine Stelle und darf sich auch nicht mehr in Schulen engagieren.

Weitere Personen wurden ebenfalls aus dem Schulbetrieb verbannt, es gab Antiterrorermittlungen und selbst Regierungsstellen schalteten sich ein.

Nun kann man sich fragen, wer eigentlich diesen Brief in die Welt gesetzt hat. Auf den verfügbaren Kopien des Briefes fehlen erste und letzte Seite. Daher wird das direkt aus dem Brief nicht klar. Es gab wohl einige Ermittlungen. Allerdings konnten Urheber nie festgestellt werden.

An dieser Stelle setzt nun ein Podcast “The Trojan Horse Affair” der New York Times an. Der Journalist Hamza Syed versucht als Abschlussarbeit seines Journalismusstudiums den oder die Urheber zu finden und nimmt uns in den Sendungen mit auf die Reise. Und diese Reise ist wahrhaft spannend. Sie versuchen, aufgrund der Umstände zu schließen, woher der Brief kommen könnte, finden logische Anhaltspunkte und können diese begründen. Im Verlauf ihrer “Ermittlungen” kommen sie jedoch sehr oft in mekrwürdige Situationen, einmal wird gegen sie ermittelt und sie müssen das Land verlassen.

Der Podcast ist sehr gut gemacht und man erfährt sehr viel über das britische Schulsystem, über die Auswirkungen der Terrorhysterie und auch wie Ermittlungen blockiert werden. Hört euch das unbedingt mal an.

Ich habe angefangen, Logseq und Obisidan für das Wissensmanagement auszuprobieren. Meine ersten Erfahrungen hatte ich verbloggt. Mittlerweile nutze ich Logseq recht regelmäßig und bin bisher recht zufrieden.

Eine Sache, die mich bislang störte, war der so genannte Date Picker. Damit lässt sich ein Datum aussuchen. Logseq stellt den Wochenbeginn auf Sonntag. “Meine” Woche beginnt jedoch montags. Bisher gab es keine Möglichkeit, dies umzuschalten. Seit kurzem hat sich dies geändert. Der Pullrequest 4949 brachte die Erleichterung. Nun gibt es eine Konfigurationsoption namens :start-of-week. Wenn der Wert auf 0 steht, beginnt die Woche auch am Montag.

Dazu müsst ihr die Einstellungen öffnen und “config.edn bearbeiten” wählen. In der Datei, die sich öffnet, sucht ihr nach der Konfigurationsoption und ändert diese. Ein explizites Speichern ist nicht nötig.

Später ist vorgesehen, dass sich das auch über einen Menüeintrag anpassen lässt.

Im obigen Screenshot seht ihr die Abkürzung des Wochentages. Sat steht für Saturday. Das ist die nächste Kleinigkeit, die mich noch stört. Dies lässt sich nämlich nicht ins Deutsche übertragen. Hierzu gibt es den Issue 5421. Mal sehen, wann und ob dieser behoben wird …

In meinem vorigen Beitrag hatte ich über den vergleichsweise neuen RFC 9116 geschrieben. Der RFC 742 ist hingegen schon 45 Jahre alt. Der definierte damals das Finger-Protokoll, mit dem sich Informationen über Benutzer:innen gewinnen ließen:

jens@host:~$ finger
Login     Name               Tty      Idle  Login Time   Office     Office Phone
peter     Peter Ones        *:3             Apr 19 13:09 (:3)
paul      Paul Twos         *:2             Apr 17 21:01 (:2)
mary      Mary Threes       *:1             Apr  2 22:38 (:1)

Oder für einen bestimmten Username:

jens@host:~$ finger peter
Login: peter                       Name: Peter Ones
Directory: /home/peter             Shell: /bin/bash
On since Sun Apr 17 21:01 (CEST) on :2 from :2 (messages off)
No mail.
No Plan.

Kürzlich fand ich heraus, dass ich auch Personen bei Mastodon, einem Twitter-ähnlichen sozialen Netzwerk, fingern kann. Hierzu benötigt man im wesentlichen die Domain der Mastodoninstanz und den Usernamen. Daraus wird eine Anfrage gebaut, die wieder das .well-known-Verzeichnis nutzt, welches ich schon im letzten Beitrag erwähnt hatte.

Eine Anfrage auf die Adresse https://mastodon.social/.well-known/webfinger?resource=acct:qbi@mastodon.social liefert dann folgendes Ergebnis:

{
  “subject”: “acct:qbi@mastodon.social”,
  “aliases”: [
    “https://mastodon.social/@qbi”,
    “https://mastodon.social/users/qbi”
  ],
  “links”: [
    {
      “rel”: “http://webfinger.net/rel/profile-page”,
      “type”: “text/html”,
      “href”: “https://mastodon.social/@qbi”
    },
    {
      “rel”: “self”,
      “type”: “application/activity+json”,
      “href”: “https://mastodon.social/users/qbi”
    },
    {
      “rel”: “http://ostatus.org/schema/1.0/subscribe”,
      “template”: “https://mastodon.social/authorize_interaction?uri={uri}”
    }
  ]
}

Das bedeutet, den angefragten Username gibt es und dessen Profil ist unter der Adresse https://mastodon.social/users/qbi verfügbar.

Im Allgemeinen heißt dieses Protokoll Webfinger und ist für die Mastodon-Instanzen verfügbar. Probiert es doch mal aus!

Kennt ihr noch die Datei robots.txt, die auf verschiedenen Webseiten hinterlegt sind? Dahinter stand der Robots Exclusion Standard und die verschiedenen Bots sollen zuerst die Seite ausweren, bevor sie eine Webpräsenz indexieren. Daneben entstand auch die Idee für eine humans.txt und mit dem “Erschaffen” des .well-known-Verzeichnisses auf dem Webserver gibt es eine ganze Reihe Dateiformate zur Information oder für andere Zwecke.

Seit April 2022 gibt es nun den RFC 9116 für die Datei security.txt. Diese soll anderen helfen, Sicherheitslücken an die richtige Stelle zu melden. Denn oftmals steht das Problem, dass eine Schwachstelle gefunden wurde und es vielleicht unklar ist, wohin diese zu melden ist.

Mail wäre natürlich eine mögliche Wahl. Im besten Fall existiert sogar eine E-Mail-Adresse namens security@. Aber sehr häufig ist dies nicht der Fall. Mails an info@ oder ähnliche Adressen landen eher im Nirwana oder werden mit Standardtextbausteinen beantwortet. Daher ist ein gezielter, standardisierter Weg gut.

Der RFC 9116 definiert hierfür eben die Datei security.txt, die im Unterordner .well-known einer Webpräsenz liegen muss. Die Datei selbst muss über HTTPS erreichbar sein. Ein korrekter Pfad wäre also https://example.com/.well-known/security.txt.

Doch was darf da drin stehen? Naheliegend sind Kontaktinformationen. Spezieller Informationen, an die man Informationen zu Schwachstellen melden kann. Hierfür ist der Eintrag Contact: gedacht. Dieser muss in der Datei enthalten sein und sollte die Kontaktmöglichkeiten in absteigender Reihenfolge enthalten. Daneben benötigt die Datei zwingend ein Ablaufdatum. Eine Minimalversion der Datei kann also so aussehen:

Contact: mailto:security@example.com
Expires: 2023-05-01T12:13:24+02:00

Weiterhin könnt ihr in der Datei Informationen zu einer Policy hinterlegen, welche Sprachen ihr sprecht, ob ihr Leute einstellt, wer in der Vergangenheit Lücken meldete und einen Verweis zu einem Schlüssel machen. Eine erweiterte Version der Datei sähe also so aus:

Contact: mailto:security@example.com
Contact: +49-123-456-7890
Contact: https://example.com/meldeformular.html
Policy: https://example.com/security-policy.html
Preferred-Languages: de, en
Acknowledgments: https://example.com/hall-of-fame.html
Encryption: https://example.com/pgp-key.txt
Expires: 2023-05-01T12:13:24+02:00

Hier sind mehrere Kontaktmöglichkeiten genannt. Es gibt eine Policy. Die Leute sprechen Deutsch und Englisch und ihr bekommt Infos über andere, die etwas gemeldet haben. Am Schluss findet sich auch ein PGP-Schlüssel. Optimalweise würde der über Web Key Discovery bereit gestellt. Aber das ist ein Thema für einen anderen Beitrag.

Schließlich könnt ihr den Eintrag auch noch mittels OpenPGP signieren. Dann sähe meine obige Datei so aus:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Contact: mailto:security@example.com
Contact: +49-123-456-7890
Contact: https://example.com/meldeformular.html
Policy: https://example.com/security-policy.html
Preferred-Languages: de, en
Acknowledgments: https://example.com/hall-of-fame.html
Encryption: https://example.com/pgp-key.txt
Expires: 2023-05-01T12:13:24+02:00

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.2.19

[Viele Zeichen, die gpg auswerten kann]
-----END PGP SIGNATURE-----

Wenn ihr also eine Schwachstelle gefunden habt, dann lohnt es sich nach der Datei zu schauen und die dort genannten Kontakte anzusprechen. Ich habe mal ein wenig gegraben. Bei den großen, bekannten Seiten, wie Google, Facebook, Twitter, GitHub usw., fand ich jeweils eine solche Datei. Seiten aus dem Microsoft-Universum wie auch viele chinesische Seiten haben keinerlei solche Informationen.

Ansonsten ist das Bild recht gemischt. Während beispielsweise Facebook und WhatsApp eine security.txt anbieten, hat Instagram keine, obwohl alle zum selben Konzern gehören.

Unter andere namhaften Seiten fand ich nichts bei

• Reddit
• Wikipedia
• Zoom
• Netflix
• Stackoverflow
• Apple
• und weiteren

Hier ist also noch ein wenig Arbeit zu tun. Wenn die Datei auch bei euch oder eurem Arbeigeber fehlt, sprecht die doch an und bittet die, diese Informationen bereitzustellen (und natürlich bei Bedarf zu aktualisieren).

Siehe auch:

• Eintrag in der Wikipedia
• Homepage securitytxt
• Beitrag bei KrebsOnSecurity

Update: Ich hatte übersehen, dass das Expires:-Feld auch ein Pflichtfeld ist und habe die obige Beschreibung ergänzt. Vielen Dank an Jürgen für den Hinweis!

Dieser Text ist eine Übersetzung des Blogpostings Why offer an Onion Address rather than just encourage browsing-over-Tor? von Alec Muffett. Alex pflegt auch eine Liste nützlicher Onion-Adressen.

Es gibt eine Reihe von Gründen, eine Onion-Site einzurichten. Ein Reihe von Vorteilen waren für Plattformen wie Facebook, BBC oder NYTimes von Nutzen.

Die ersten Vorteile sind Authentizität und Verfügbarkeit: Wenn du den Tor-Browser benutzt und genau die richtige Onion-Adresse eingibst, bist du garantiert mit der erwarteten Seite verbunden, was du erwartest - oder eben gar nicht.

Das ist für die Menschen sehr einfach zu begreifen und auch einfach zu erklären.

Diese Funktion entschärft Angriffe, die von möglicherweise bösartigen “Tor-Exit-Knoten” ausgehen können. Die Angriffe sind zwar selten, existieren aber dennoch. Die Tatsache, dass du eine “.onion”-Adresse verwendest, setzt voraus, dass du Tor und den Tor-Browser verwendest. Dies entschärft die folgenden möglichen Angriffe:

• landesweite Websperren
• Man-in-the-Middle-Angriffe auf das TLS-Protokoll
• SNI-Filter
• Tracking und Zensur von DNS-Anfragen (betrifft sowohl Clients wie auch Exitknoten)
• Probleme beim Tracking durch Cookies und Fingerprinting-Angriffen
• … sowie eine Reihe weiterer Probleme

Um es anders zu formulieren: Die Werbung für eine Onion-Adresse ist ein implizites Verkaufsargument für die Nutzung von Tor.

Update: Eine Sache, die ich in der ursprünglichen Version dieses Beitrags vergaß zu erwähnen, ist, dass die Nutzung von Onion-Netzwerken für Seiten mit hohem Traffic den Druck auf die Exit-Node-Infrastruktur von Tor reduziert. Denn der Traffic fließt stattdessen durch die größere und reichhaltigere Menge an Middle-Relays, ohne Exit-Nodes und/oder das Klartext-Internet zu nutzen.

Letzteres ist wichtig und bringt uns zum zweiten (dritten?) Satz von Vorteilen:

Der Betrieb einer Onion-Site ist eine Verpflichtung [der Plattform], mit Tor-Benutzer:innen gerecht umzugehen; bei der normalen Benutzung von Tor werden die Benutzer mit allen anderen vermischt, die aus dem Internet kommen, und (seien wir ehrlich) einige Leute benutzen Tor manchmal zum Herunterladen einer kompletten Webpräsenz (Scraping) oder anderem unangenehmen Verhalten.

Das führt zu der Herausforderung, die “Spreu vom Weizen zu trennen”.

Das Einrichten einer Onion-Adresse ist jedoch ein praktischer Schritt, der zeigt, dass die Plattform explizit auf die Bedürfnisse von Tor-Nutzern eingeht, und nun kehrt sich das Problem um: Ein gewisses Maß an schlechtem Verhalten über die Onion-Adresse kann überwacht und als “schlechtes Verhalten” eingestuft werden, was den Tor-Nutzern maximale Freiheit gewährt.

Dies ist eine Angelegenheit, die ich bei Facebook hautnah miterlebt habe und auf einer Tor-Mailingliste beschrieben habe.

Wenn ich die Vorteile in einem Satz zusammenfassen sollte, wäre es folgender: Eine Onion-Adresse ist ein Versprechen und ein Mechanismus, der sicherstellt, dass du die Bedürfnisse der Leute, die Tor benutzen, ernst nimmst.

Anstatt ihnen zum Beispiel eine endlose Reihe von CAPTCHAs auf Basis der IP-Reputation aufzudrängen.

Im Podcast TILpod war Wissensmanagement mit Obsidian und Logseq kürzlich das zentrale Thema. Dirk Deimeke und Sujeevan Vijayakumaran berichteten über deren Erfahrungen mit den Tools Logseq und Obsidian. Im Rahmen meines Jobs betreue ich derzeit eine ERP-Software und dort gibt es viele Knöpfe, Einstellungen, Möglichkeiten etc. Daher wollte ich beide Werkzeuge mal testen und prüfen, ob die sich irgendwie in meine Arbeit integrieren lassen. Der Blogbeitrag ist das Ergebnis meiner ersten Schritte. Ich will hier mal die frischen Erkenntnisse niederschreiben.

Erste Schritte mit Obsidian

Beim ersten Öffnen von Obsidian fragt die Software nach einem so genannten Vault. Das ist so eine Art Projektansicht. Nachdem entweder eine existierende geöffnet oder eine neue angelegt wurde, kann es losgehen. Datei um Datei entsteht dann ein Wissensspeicher.

Wenn das linke Vorschaufenster ausgeklappt ist, sind die Dateien sichtbar. Die Ansicht finde ich im Moment recht nützlich, weil sie mir einfach einen Überblick über existierende Dateien verschafft. Vermutlich wird das aber im Laufe der Zeit eine immer kleinere Rolle spielen.

In den Videoanleitungen zu Obsidian gab es noch einen Hinweis zu Aliasen. Dieses Feature fand ich recht nützlich. Denn im Rahmen meines Anwendungsfalles gibt es einen Baustein namens “Auftrag”. Wenn ich im Text hierauf verweise, kann es sein, dass ich manchmal Aufträge, Aufträgen etc. schreiben muss. Mittels Aliases kann das alles auf eine Seite umgebogen werden.

Erste Schritte mit Logseq

Beim ersten Öffnen von Logseq erscheint eine Art Info-Bildschirm. Dieser informiert über die ersten Schritte bei der Bedienung der Software. Allerdings fehlte mir die Information, wie ich über den Start hinaus komme. Innerhalb des Tutorials kann man arbeiten, neue Seiten anlegen etc. Aber wie arbeitet man nun produktiv? Erst später fiel mir auf, dass es rechts oben den Eintrag “Öffnen” gibt. Darüber kann man ein Verzeichnis angeben. Die Daten werden dann in diesem Verzeichnis abgelegt.

Interessanterweise fand ich keine Möglichkeit, wieder zu dem Startbildschirm zurück zu wechseln. Man kann neue Seiten anlegen und zwischen diesen wechseln. Aber der Startbildschirm scheint verschwunden zu sein.

Der Arbeitsablauf bei Logseq basiert nun auf dem Journal. Es wird eine Datei mit dem aktuellen Datum angelegt. Dort lassen sich dann Informationen, TODO-Einträge und vieles mehr ablegen. Über Verlinkungen werden dann auch einzelne Seiten angelegt. Es fühlt sich für mich so an, als ob das Journal der Kern der Software wäre.

Mir fehlt eine Ansicht der Dateien. Es gibt zwar Neueste und Favoriten. Aber ich würde mir für den Anfang eine Überischt aller Dateien wünschen. Diese lässt nur über den Menüeintrag “Alle Seiten” öffnen. In dem Fall öffnet sich dann ein neues Fenster.

Neben den obigen Punkten muss ich mich vermutlich noch in die Software einfinden. Rein optisch stören mich die Punkte am linken Rand. Das ist vermutlich eine Markierung für den Block. Aber gerade bei Überschriften sieht das merkwürdig aus.

Bei meiner Liste der Android-Apps fielen mir einige auf, die ich mal näher vorstellen will. Heute ist Noice dran.

Wie könnt ihr am besten arbeiten? Bei absoluter Ruhe, mit Musik oder stört euch der Geräuschpegel gar nicht?

Ich habe festgestellt, dass absolute Ruhe mich eher ablenkt. Für gute Konzentration benötige ich entweder Musik oder eine andere Form von Geräuschen. Vor einigen Jahren war ich in Deutschland unterwegs und in dem Ort gab es weder vernünftige Handyabdeckung noch funktionierendes WLAN. In fahrbarer Nähe gab es einen Erlebnispark mit kostenlosem und funktionierendem WLAN. Dort sass ich inmitten eines Kinderspielplatzes und konnte arbeiten, ohne dass mich die Geräuschkulisse stört.

Bei meinen Streifzügen durch F-Droid stieß ich auf die App Noice. Diese stellt verschiedene Geräusche zur Verfügung und spielt diese einzeln oder gemischt vor.

So könnte ich beispielsweise simulieren, dass ich in einem Flugzeug sitze, zu verschiedenen Zeiten kommt mal ein Anschnallsignal während es durch ein Gewitter fliegt und sich die Menschen im Flugzeug unterhalten. Oder ich sitze am Meer höre das Rauschen bei leichtem Wind und mildem Regen.

Durch diese Einstellungen ergibt sich eine Geräuschkulisse, die im Hintergrund da ist, ohne wirklich zu stören. Wenn ihr also auch auf Hintergrundgeräusche steht, holt euch die App aus dem F-Droid-Store.

Bei Jörg sah ich kürzlich eine Liste von Android-Apps, die er verwendet. Solch eine Liste kann eine gute Idee sein, um neue interessante Apps zu finden. Daher habe ich beschlossen, auch eine solche Liste aufzustellen.

Bei meinen Reisen durch die Statisken bei OWID verglich ich kürzlich verschiedene Länder bezüglich deren Impfungen, Einweisungen in Krankenhäuser etc. Dabei stieß mir der Vergleich zwischen den USA, Dänemark und Slowenien ins Auge.

Auf dem Bild links oben ist der Verlauf der Impfungen in den einzelnen Ländern gedruckt. Dabei liegt Dänemark weit vorn, gefolgt von den USA und am Ende liegt Slowenien. Zu Ende Januar 2022 sind in Dänemark weit über 80% der Bevölkerung vollständig geimpft (USA: 63%, Slowenien: 58 %).

Links oben sind die aktuellen Fallzahlen. Sowohl Dänemark wie auch Slowenien schießen nach oben während die USA weniger als die Hälfte der slowenischen Fallzahlen hat.

Links unten sind dann die Personen auf den Intensivstationen verzeichnet. Insbesondere Slowenien hat hier einen enormen Ausschlag. Leider fehlt bei OWID eine Möglichkeit, die Gesamtzahlen zu ermitteln. Aber grob geschätzt sind die Zahlen zwischen Oktober 2020 und Juli 2021 sowie September 2021 bis jetzt (Januar 2022) etwa gleich. Die Zahlen aus den USA sind leicht geringer geschätzt und Dänemark liegt dann deutlich darunter.

Schließlich finden sich rechts unten die Anzahl der Todesfälle. Bis Ende Oktober 2020 lagen die USA deutlich an der Spitze gefolgt von Dänemark und am Ende Slowenien. Ab Dezember 2020 bis heute sind die Todeszahlen in Slowenien am höchsten dicht gefolgt von den USA. Dänemarkt hat etwa ein Viertel der Zahlen der anderen beiden Länder.

Der Vergleich zeigt, dass Dänemark unter den drei Ländern bisher am besten durch die Pandemie gekommen ist. Sowohl Fallzahlen, wie auch Menschen in den Krankenhäusern wie auch die Todeszahlen liegen deutlich unter den USA und Slowenien. Aber auch im Zeitreihenvergleich steht Dänemark gut da. Heute hat das Land fünfzehnmal mehr Fälle als zu Weihnachten 2020. Jedoch liegen des Todesfälle deutlich unter den Hochs aus der Zeit. Aktuell liegen die etwa halb so hoch, sind aber noch am steigen.

Diese Entkopplung von Fall- und Sterbezahlen zeigt sich bei allen drei (und auch bei anderen) Ländern:

Ich habe die Ansicht in der obigen Grafik mal auf den Zeitraum zwischen Dezember 2020 und 2021 beschränkt. Denn durch den hohen Anstieg der Fallzahlen wird die Kurve zu “flach”. Bereits hier zeigt sich die Entkopplung von Fall- und Todeszahlen. In Dänemark und Slowenien gehen die Fallzahlen deutlich hoch, während die Zahl der Toten deutlich weniger steigt. Für Slowenien zeigt sich der Effekt noch viel deutlicher, wenn der Startzeitpunkt im OKtober 2020 liegt. Allerdings hinterlässt die Omikron-Wand in Slowenien schon jetzt deutliche Spuren. Dort hat sich die Zahl der Toten in den letzten beiden Wochen verdoppelt (bei einer Verdrei- bis Vervierfachung der Fallzahlen). Wenn sich das so fortsetzt, sollten die Zahlen etwas über die Spitze der Delta-Welle steigen und immernoch deutlich unter denen vom Jahresende 2020 liegen.

Aus meiner Sicht zeigt sich in diesen Zahlen der Erfolg der Impfung. Alle anderen Maßnahmen sind zu verschiedenen Graden in den betreffenden Ländern heruntergefahren worden. So dass die Impfung hier einen großen Schutzfaktor einnimmt.

Im Falle der USA ist der Effekt nicht so deutlich mit Bildern zu sehen. Hier müsste man die Daten mehr nach den einzelnen Ländern aufgliedern und würde dort dann ebensolche interessanten Erkenntnisse gewinnen. Das ist jedoch Thema für einen anderen (noch nicht geschriebenen) Blogbeitrag.