Skip to content

Nachtrag zu Firefox 57 ...

Bei mir haben sich Änderungen bei den Extensions ergeben.

Von den in diesem Artikel erwähnten Plugins habe ich Textarea Cache rausgeworfen, weil das deutlich zu viel CPU verbraucht hat und die dort erwähnte Pinboard-Extension hat nachträglich nicht benötigte Rechte angefragt.

Pinboard bediene ich jetzt durch die Pinboard Web Extension, die sich nahezu identisch wie die originale Extension verhält.

Für Textarea Cache habe ich (noch) keinen Ersatz.

Firefox 57 ...

Der neue Firefox in Version 57 - Codename "Quantum" - ist wahnsinnig schnell geworden. Dass es vorher langsam war, nerkt man erst, wenn man die ersten Seiten mit der neuen Version aufgerufen hat.

Das neue Extension-System sorgt dafür, dass viele Extensions im neuen Firefox nicht mehr laufen. Angekündigt war es lange (ich meine seit Version 54), aber anscheinend haben die meisten Extension-Autoren das nicht ernst genommen.

Bei mir laufen fünf Extensions, die ich nicht missen möchte. Alle unten verlinkten Extensions laufen unter dem aktuellen Firefox.

  • Pinboard Pin - ersetzt die originale Firefox-Extension von pinboard.in, sollte die Extension auf der Seite des Dienste aktualisiert werden, wechsele ich wieder (habe mich einfach zu sehr an die Bedienung gewöhnt).
  • Textarea Cache ersetzt Lazarus, ein Tool, was die Eingaben in Textboxen auf Webseiten rettet, wenn man irrtümlich die Seite geschlossen hat.
  • uBlock Origin sorgt für die "Digitale Selbstverteidigung".
  • Update Scanner prüft in regelmässigen Abständen Webseiten auf Veränderungen. Sehr nützlich, wenn die Webseite keinen RSS-Feed anbietet.
  • Wallabagger speichert seiten in meiner Wallabag-Instanz zum später Lesen und dient als Basis für meinen Linkdump.

Webspace-Inventar 2017 ...

Dieser Artikel ist eine Antwort auf den Artikel von Thomas zum Thema.

Auf meinem Server laufen die folgenden Webapplikationen, Reihenfolge ist alphabetisch und sagt nichts über die Wertigkeit aus.

  • DokuWiki ist die Wikisoftware, die ich benutze, wenn ich einmal ein Wiki brauche. Kommt ohne Datenbank zurecht.
  • Das Freie Software Fotobuch ist eine Zusammenstellung von Personen und deren Lieblingssoftware.
  • Gitea stellt mir einen Gitserver mit grafischer Oberfläche zur Verfügung.
  • GNUsocial bietet eine Instanz des freien sozialen Netzes.
  • Kanboard ist eine sehr einfache, aber dafür leistungsfähige Umsetzung eines Kanboards.
  • Netdata - sehen was läuft.
  • Nextcloud nutze ich sowohl als Filesynchronisationslösung mit automatischem Upload von Handy-Photos wie auch zur Synchroniation des Kalenders und der Kontakte mit dem Handy.
  • Piwik aks Webabanalysewerkzeug.
  • phpMyAdmin, wenn ich "mal schnell" etwas mit der Datenbank machen muss.
  • Roundcube ist mein Webmailer.
  • RSS-Bridge wandelt beispielsweise Tweets von Twitter in einen RSS-Feed.
  • Serendipity ist die Blogsoftware, die ich benutze.
  • Tiny Tiny RSS ist mein Feedreader (News+ mit entsprechendem Plugin auf dem Android-Tablet).
  • Wallabag - hier landen alle längeren Artikel, die ich noch lesen will (auch über ein Plugin in Tiny Tiny RSS).
  • YOURLS ist ein URL-Verkürzer, den ich nur noch aus historischen Gründen benutze.

Dazu kommen noch kleinere Dienste, die kein Webfrontend haben.

An dieser Stelle möchte ich nicht vergessen, Let's Encrypt und ACMEfetch (Anleitung hier im Blog) zu erwähnen, die dafür sorgen, dass alles, was Web ist, über https bereitgestellt werden kann.

Noch eine Chance für Thunderbird ...

Ungefähr ein Mal pro Jahr gebe ich Thunderbird eine Chance mich davon zu überzeugen, dass es ein guter Mailclient ist.

Mein Leidensdruck liegt darin begründet, dass ich immer mehr html-Nachrichten bekomme, die Claws-Mail nicht darstellen kann (oder will) und ich dafür in einen Browser wechseln muss.

Das nervt.

Hier im Blog lassen sich die vergangenen Versuche finden.

Was ich bis jetzt gemacht habe.

Thunderbird installiert, dazu die Plugins SoGo-Connector, Enigmail und uBlock Origin.

Damit habe ich gpg-Verschlüsselung und zusätzlich Kalendar und Kontakte aus meiner Nextcloud-Instanz eingebunden.

Was schon ein bisschen nervt, dass ich bei jedem IMAP-Ordner via Rechtsklick, dann Properties angeben muss, dass der Ordner bei der Überprüfung von neuen Nachrichten berücksichtigt werden soll.

Habt Ihr noch Tipps, welche Erweiterungen ich mir anschauen sollte?

Skeleton ...

Über den Artikel bei Thomas bin ich auf das sehr einfache responsive Framework Skeleton aufmerksam geworden.

So etwas habe ich schon lange gesucht! Danke.

Damit wurde die Webseite von My own IT und meine Homepage umgestellt. Dabei habe ich mit My own IT auch mal einen anderen Ansatz für die Informationsvermittlung gewählt. (Ich weiss, das widerspricht allen Prinzipien).

Let's Encrypt ...

Wie versprochen, kommt jetzt auch mal ein Artikel, wie man Let's Encrypt für die eigenen Domains nutzen kann. Aus "in ein paar Tagen" wurden leider drei Monate.

Der Grund für die Verzögerung ist neben der fehlenden Zeit, einen vernünftigen Artikel zu verfassen, die schiere Menge an Implementationen des zugrundeliegenden ACME-Protokolls. Den Original-Client möchte ich nicht benutzen, da er mir zu viele Änderungen am System (als root) vornimmt. acme-tiny schien eine Zeit lang das Mittel der Wahl zu sein.

Das Tool, was ich jetzt aber benutze, ist AcmeFetch von Tobias Oetiker, weil es wirklich einfach und damit für jeden nutzbar ist und weil ich den Macher kenne ;-) Es muss nicht als root-User laufen, kann aber.

Die Vorarbeiten sind ein kleines wenig aufwändiger, das eigentliche Erstellen lassen der Zertifikate und auch der Refresh alle 90 Tage ist aber sehr, sehr einfach.

Vorarbeiten:

Einen Userkey erzeugen, mit dem die künftigen Zertifikate bestellt werden.


# Einen Usernamen festlegen, der wird später gebraucht
$ export USER="Euer Lieblingsusername"

# Key erzeugen
$ openssl genrsa 4096 > ${USER}.key
Generating RSA private key, 4096 bit long modulus
...................................................................................++
..................................++
e is 65537 (0x10001)
 

AcmeFetch basiert auf Perl, daher sollte Perl installiert sein.


# CentOS
$ yum install perl-core openssl-devel gcc unzip

# Debian/Ubuntu
$ apt-get install perl libssl-dev gcc unzip make
 

AcmeFetch besorgen:

Danach das Repository klonen oder ein Release herunterladen, oops, das aktuelle Release heisst "Dirk".


$ git clone https://github.com/oetiker/AcmeFetch.git AcmeFetch.git
 

Jetzt geht es los:

Wenn AcmeFetch gebaut wird, werden alle benötigten Perl-Module im Zielverzeichnis/lib installiert. Das bestehende System wird nicht verändert. Tobi empfiehlt $HOME/opt/acmefetch, mir ist das "reale" /opt lieber.


$ ./configure --prefix=/opt/acmefetch

$ make

# sudo nur nötig, wenn das Ziel-Verzeichnis als User nicht schreibbar ist
$ sudo make install
 

Zertifikat konfigurieren:

Im Verzeichnis /opt/acmefetch/etc liegt eine Musterkonfigurationsdatei acmefetch.cfg.dist, die als Muster benutzt werden kann. Ich habe die etwas abgewandelt, so dass es für mich passt.

Für meine Version muss das Verzeichnis /etc/letsencrypt schreibbar sein (da liegen alle "Let's Encrypt"-Zertifikate auf meinem Server). ddeimeke.key müsst Ihr mit Eurem Schlüssel ersetzen.


{

    "GENERAL": {

        "ACMEstaging": "acme-staging.api.letsencrypt.org",

        "ACMEservice": "acme-v01.api.letsencrypt.org",

        "accountKeyPath": "/etc/letsencrypt/ddeimeke.key"

    },

    "CERTS": [

        {

            "certOutput": "/etc/letsencrypt/deimeke.net.crt",

            "certFormat": "PEM",

            "keyOutput": "/etc/letsencrypt/deimeke.net.key",

            "keyFormat": "PEM",

            "chainOutput": "/etc/letsencrypt/chain.crt",

            "chainFormat": "PEM",

            "commonName": "deimeke.net",

            "SITES": {

                "deimeke.net": {

                    "challengeHandler": "LocalFile",

                    "challengeConfig": {

                        "www_root": "/srv/www/deimeke.net/",

                    }

                },

                "www.deimeke.net": {

                    "challengeHandler": "LocalFile",

                    "challengeConfig": {

                        "www_root": "/srv/www/deimeke.net/",

                    }

                }

            }

        }

    ]

}

 

Der Betriebssystem-User, der das Zertifikat erstellen lassen möchte, benötigt Schreibrechte im DocumentRoot-Verzeichnis der Domain (genauer im Unterverzeichnis .well-known/acme-challenge)

Achtung: Es ist sinnvoll, vor dem eigentlichen Erstellen der Zertifikate eventuell vorhandene .htaccess-Dateien umzubennen (beispielsweise die von ownCloud).

Zertifikat erstellen:


$ /opt/acmefetch/bin/acmefetch --cfg=/opt/acmefetch/etc/deimeke.net.cfg --verbose
* ## deimeke.net ##
* Cert /etc/letsencrypt/deimeke.net.crt is missing. Generating.

* talk to acme-v01.api.letsencrypt.org
* authorize deimeke.net via /srv/www/deimeke.net/
* authorize www.deimeke.net via /srv/www/deimeke.net/
/tmp/9QmdSJnbNt.cfgGenerating a 2048 bit RSA private key
.....................................+++
.....................................................................................................+++
writing new private key to '/etc/letsencrypt/deimeke.net.key.13854'
 

Wenn Ihr es direkt noch einmal ausführt, wird kein neues Zertifikat erstellt, nur, wenn --force gesetzt ist oder 30 Tage vor Ablauf des vorhandenen Zertifkats oder, wenn Ihr in der Konfiguration etwas verändert habt.

Webserver konfigurieren: (bei mir Apache)

Dafür habe ich mir dieses kleine Shellskript gebastelt.


#!/bin/bash
set -o errexit

if [[ -z "$2" ]]; then
    echo
    echo "ERROR: usage $0 domain ipaddress"
    echo
    exit 1
fi

DOMAIN=$1
IPADDRESS=$2

echo "<VirtualHost ${IPADDRESS}:443>
    ServerName ${DOMAIN}
    DocumentRoot /srv/www/${DOMAIN}

    ErrorLog /var/log/httpd/${DOMAIN}/error.log
    CustomLog /var/log/httpd/${DOMAIN}/access.log combined

    Header always set Strict-Transport-Security "
max-age=15768000"
    SSLEngine On
    SSLCipherSuite 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:CAMELLIA:!kRSA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK'
    SSLProtocol All -SSLv2 -SSLv3
    SSLHonorCipherOrder On
    SSLCompression off
    SSLCertificateFile /etc/letsencrypt/${DOMAIN}.crt
    SSLCertificateKeyFile /etc/letsencrypt/${DOMAIN}.key
    SSLCertificateChainFile /etc/letsencrypt/intermediate.crt

    <Directory \"/srv/www/${DOMAIN}\">
        allow from all
        Order allow,deny
        AllowOverride All
        Options -Indexes
        Require all granted
    </Directory>
</VirtualHost>"

 

Weitere Domains:

Weitere Konfigurationen lassen sich mit einem einfachen sed-Kommando erstellen.


$ sed 's/deimeke.net/yawnrz.com/g' /opt/acmefetch/etc/deimeke.net.cfg > /opt/acmefetch/etc/yawnrz.com.cfg

$ /opt/acmefetch/bin/acmefetch --cfg=/opt/acmefetch/etc/yawnrz.com.cfg --verbose
 

Die Geschichte wiederholt sich ...

Ich habe es versucht, wirklich. Ich habe ein halbes Jahr durchgehalten, aber es geht nicht. Thunderbird ist nicht mein Mailclient. Je länger ich suche, desto mehr merke ich, dass für mich nichts an Claws-Mail heran kommt, obwohl ich mit einigen Punkten unzufrieden bin.

Die Gründe sind die gleichen, wie sie es schon einmal waren, Thunderbird ist für die Menge an Mails und das, was ich mit Mails mache viel zu schwerfällig. Ich habe gemerkt, dass ich den Kalender in Thunderbird nie genutzt habe, damit entfällt der einzige Zusatznutzen, den Thunderbird gegen Claws-Mail hat.

Und, egal wie ich es drehe, Geschwindigkeit spielt gerade bei Mails eine grosse Rolle.

testssl.sh ...

In den kommenden Tagen werde ich ein paar kleinere Skripte und Tipps rund um Let's encrypt veröffentlichen. Let's encrypt bietet freie Zertifikate, die 90 Tage gültig sind und jetzt in der offenen beta-Phase noch einigen Restriktionen unterworfen sind. So lassen sich maximal zehn Registrierungen in drei Stunden durchführen und maximal fünf Zertifikate pro Domain. Diese Limits sollen nach Ende der beta-Phase angepasst werden.

Hier möchte ich Euch jetzt das Skript testssl.sh (GitHub) von meinem Namensvetter Dirk Wetter ans Herz legen.

Das Skript überprüft eine SSL- oder TLS-Verbindung auf richtige Konfiguration und auf Sicherheitslücken. Aufruf geht ganz leicht mit (beispielsweise):

./testssl.sh https://d5e.org/

Welche "Sozialen Netze" nutzt Ihr?

Aus purer Neugierde:

Welche "Sozialen Netze" nutzt Ihr und wie häufig nutzt Ihr sie?

Ich habe unter Kontakt einmal eine Auflistung versucht und scheitere daran, sie aktuell zu halten.

Hier Liste ich mal die Dienste auf, die ich nutze. Die Reihenfolge entspricht der "gefühlten" Häufigkeit der Nutzung:

Google+

Twitter

GNU Social

Facebook

Instagram

LinkedIn

Xing

Ankündigungen neuer Blogartikel landen automatisch bei Twitter, LinkedIn und Xing; manuell sende ich sie an Google+ und GNU Social.

Wenn ich mal Bilder poste, dann bei Instagram mit automatischer Weiterleitung an Twitter und Facebook.

Wie sieht das bei Euch aus?

Und, was mich auch interessieren würde, ist, ob Ihr die gleichen Inhalte in alle Netzwerke postet.

DigitalOcean ...

Ich habe schon viel von DigitalOcean gehört, unter anderem - aber nicht ausschliesslich - im sehr hörenswerten Podcast Gitminutes.

Nachdem ich jetzt gelesen habe, dass die Firma ein Rechenzentrum in Frankfurt eröffnet, denke ich, dass ich mir das einmal anschauen könnte.

Deployment einer virtuellen Maschine in 55 Sekunden, alles auf SSD-Speicher klingt wirklich interessant. So schnelle klicke ich mir selbst zu Hause keine extern erreichbare virtuelle Maschine zusammen.

Abgerechnet wird im Stundentakt der Existenz der virtuellen Maschine, das bedeutet, auch ausgeschaltete Maschinen kosten Geld. Man kann aber einen Snapshot erstellen, diesen sichern und die virtuelle Maschine dann löschen, damit entstehen keine weiteren Kosten.

Mich reizt die API und die Möglichkeit "mal schnell" eine virtuelle Maschine zu erzeugen, eine Arbeit durchzuführen (beispielsweise ein Repack von grossen Git-Repositories, einen OpenVPN-Server) und sie danach wieder zu zu löschen. Das alles geht automatisiert, ich muss nur noch herausfinden, wie.

Über diesen Refcode bekommt Ihr 10 USD zum Spielen (solltet Ihr jemals mehr als 25 USD Umsatz machen, würde ich auch 25 USD gut geschrieben bekommen). Da auf Stundenbasis abgerechnet wird, kommt man schon mit 10 USD relativ weit, die kleinste Maschine (512 MB Memory, 1 Core Processor, 20 GB SSD Disk, 1 TB Transfer) kann damit zwei Monate laufen und die grösste Maschine (64 GB Memory, 20 Core Processor, 640 GB SSD Disk, 9 TB Transfer) immerhin noch 10.5 Stunden.

Blogparade Webspace-Inventar ...

An Blogparaden habe ich ja schon hundert Jahre nicht mehr teilgenommen. Ein Grund mehr, es mal wieder zu tun.

Christoph fragte: Was ist auf deinem Webspace installiert?

Zuerst einmal die sichtbaren Dienste:

Schon sehr lange kommt Serendipity als Blogsoftware zum Einsatz. Über die Vorzüge habe ich schon viel geschrieben. Das möchte ich hier nicht ausrollen.

Piwik sorgt für die Nutzerstatistik.

Wenn einmal ein Wiki gebraucht wird, hilft DokuWiki.

Yourls ist ein URL-Verkürzungsdienst, mit dem ich beispielsweise d5e.org/technik auf eine statische Seite hier im Blog umleite.

Intern oder auf Einladung:

Tiny Tiny RSS ist mein Feedreader, auch darüber habe ich hier schon einiges geschrieben.

Mit Kanboard plane ich private Projekte. Das Tool ist gut und die Aussage des Programmierers "No fancy technologies, we don't care about the last hipster framework" finde ich auch klasse. Minimalistisch, schnell und gut (steht nicht im Weg).

Den "Datenspeicherdienst" ownCloud muss ich auch nicht weiter erklären, oder.

Roundcube ist mein Webmailer.

Auf dem Serendipity-Treffen habe ich mich von Adminer überzeugen lassen. Das Ding ist rasend schnell und nicht nur für MySQL / MariaDB geeignet.

Für Show your Places hätte ich gerne eine aktuellere Alternative. Hiermit kann man Karten auf OpenStreetMap-Basis erstellen.

Ausgemustert, nicht aufgrund mangelnder Qualität, sondern, weil ich sie nicht mehr benötige:

Trac, Projekttool mit Wiki, Quellcode-Browser und Ticket-System.

Etherpad Lite, kollaborativer Editor.

Sticky Notes als Pastebin.

Firtz, Podcast-Publishing.

phpMyAdmin, Datenbankverwaltungstool.

Horde Groupware Webmail Edition, Mail, Kalender und mehr.

Kein Jabber mehr ...

Es ist bereits aufgefallen, dass ich den Jabber-Server bei der Migration nicht mitmigriert habe.

Die Gründe dafür sind relativ leicht zu erraten. Ich habe Jabber nicht mehr benutzt. Tatsächlich habe ich den Jabber-Client letztes Jahr vielleicht zwei Mal gestartet. Das ist mir bei einer weiter zurückliegenden Migration bereits aufgefallen und jetzt ist halt Schluss.

Zu Instant Messaging gibt es mittlerweile auch gute Alternativen, man kann mich über die folgenden Kanäle erreichen, wenn es denn wirklich "instant" sein muss:

Und, wenn es wirklich mal sein muss, kann ich mir gerne auch einen Jabber-Account besorgen.

Nachtrag: WhatsApp bitte nur als allerletzten Notnagel verwenden, ich nutze das nur, um an Absprachen in unserem Reitstall teilnehmen zu können.

Poodle ...

Es gibt nicht weniger Sicherheitslücken als früher, sie erreichen nur einen grösseren Anwenderkreis.

Die neueste Lücke betrifft die Version 3 von SSL und nennt sich Poodle. Ich zitiere einmal aus dem verlinkten Wikipedia-Artikel:

Mozilla Firefox deaktiviert ab Version 34 SSL 3. In älteren Versionen muss unter about:config der Wert security.tls.version.min auf 1 gesetzt werden.

In Google Chrome und Chromium wird SSL 3 manuell auf der Kommandozeile mit dem Parameter -ssl-version-min=tls1 abgeschaltet.

Im Internet Explorer muss unter "Internetoptionen" > "Erweitert" > "Sicherheit" der Haken bei "SSL 3 verwenden" entfernt werden. Lediglich der ursprünglich mit Windows XP ausgelieferte Browser Internet Explorer 6 unterstützt das nachfolgende TLS 1.0 noch nicht.

Meiner Erinnerung nach war das schon länger bekannt, es kocht gerade nur wieder einmal hoch.

Ello ...

Über Volker Weber habe ich von Ello erfahren und ich bin - gelinde gesagt - begeistert. Diese Beschränkung auf das absolute Minimum macht einfach Spass. Ganz grossartig. Vor allem auch der Verzicht auf Werbung macht sich gut.

https://ello.co/ddeimeke

In der Feature-Liste finden sich unter "Coming soon" ein paar Punkte, die das (Podcaster-)Herz höher schlagen lassen, zum Beispiel:

  • Multimedia commenting
  • Audio integration (Soundcloud)
  • Auto-push posts to other networks
  • iOS & Android mobile apps

Ein paar Einladungen habe ich noch über, wer eine haben möchte, sollte mit seiner echten E-Mail-Adresse hier im Blog kommentieren. Die verbleibenden Einladungen gehen in der Reihenfolge des Eingangs raus und bitte nicht drängeln.

Ich bin sehr gespannt, was aus diesem Versuch wird.

Questhub.io ...

Eine ganz andere Art mit ToDo-Listen umzugehen, bietet Questhub.io. Mit Elementen aus Gamification soll der ewigen "Verschieberitis" Einhalt geboten werden. Man stellt seine Aufgaben auf die Webseite und bekommt Punkte, wenn man sie auch erledigt ;-)

Auf der About-Seite wird genauer beschrieben, was dahinter steckt.

Die vielleicht grösste Stärke von Questhub sind die Quests, das sind Aufgaben, die man (auch) gemeinschaftlich lösen kann und soll. Questhub entstand ursprünglich in der Perl-Community als "Play Perl" (was im Perl-Bereich weiterlebt) und war dazu gedacht, Aufgaben rund um Perl spielerisch zu erledigen.

Ich finde die Idee dahinter klasse, vor allem, wenn man sich einmal überlegt, wie viele unangenehme Aufgaben in einem Projekt erledigt werden müssen. Das ist die Möglichkeit, auch dafür "Ruhm und Ehre" einzuheimsen.

Momentan gibt es auf Questhub die Bereiche ("realms") Perl, Chaos, Code, Read, Meta, Fitness, Haskell, Testing, Japanese, Big Data, Python (Ru) und Lisp. Der Autor richtet auf Nachfrage weitere Bereiche ein.