Archiv September 2020

Mittwoch, 30. September 2020

PHPMailer 5.2.28 kann über SMTP keine Mails versenden: „key too small“

Für ein Projekt möchte ich ein Web-Formular als E-Mail versenden. Um die sensitiven Daten besonders gut zu schützen, möchte ich das E-Mail direkt vom Hosting Web-Server auf den Ziel-Mailserver senden und den lokalen SMTP des Hostinganbieters nicht mit den Daten in Berührung kommen lassen. Und die Übermittlung des E-Mails an den SMTP-Server müsste auch noch verschlüsselt erfolgen.

Leider verfügt der Ziel-SMTP-Server über ein (mittlerweile) schwaches Zertifikat, denn PHPMailer respektive OpenSSL weigert sich, verschlüsselt mit dem SMTP-Server zu kommunizieren:

...
2020-09-30 19:48:46 Connection failed. Error #2: stream_socket_enable_crypto(): SSL operation failed with code 1. OpenSSL Error messages:error:141A318A:SSL routines:tls_process_ske_dhe:dh key too small [../PHPMailer-5.2.28/class.smtp.php line 374]
...

PHPMailer gibt diese Debug-Meldungen direkt an den Browser aus, wenn man bei der Initialisierung der Klasse folgende Option aktiviert:

...
$mail = new PHPMailer();
...
$mail->SMTPDebug = SMTP::DEBUG_LOWLEVEL;
...

Andere, weniger geschwätzige Optionen sind: SMTP::DEBUG_CLIENT, SMTP::DEBUG_SERVER, SMTP::DEBUG_CONNECTION. SMTP::DEBUG_OFF unterdrückt jegliche Debug-Meldungen.

Das Problem ist, dass der vom Server verwendete Diffie Hellman-Key zu kurz ist; im vorliegenden Fall ist er nur 1024 bit lang. Dies erlaubt Logjam-Attacken.

Überprüfen kann man die Key-Länge mit folgendem Befehl:

$ openssl s_client -connect mailserver.tld:25 -starttls smtp
...
Server Temp Key: DH, 1024 bits
...

Beim Debugging habe ich auch noch den Web-Service www.checktls.com entdeckt, der mir bestätigt hat, dass der Server grundsätzlich verschlüsselt spricht.

Nun, entweder überzeugt man den Betreiber des SMTP-Servers, die Verschlüsselungskonfiguration anzupassen respektive einen neuen Schlüssel zu generieren.

Falls dies keine Option ist, und man das Risiko in Kauf nehmen möchte, gibt es aber noch folgende Möglichkeit:

...
$mail = new PHPMailer();
...
$mail->SMTPSecure = 'tls';
$mail->SMTPOptions = array(
    'ssl' => array(
        'security_level' => 0
    )
);
...

Die Option security_level gibt es seit PHP 7.2 und OpenSSL 1.1.0. Mögliche Werte sind in der offiziellen Dokumentation nachzuschlagen. 0 bedeutet sinnbildlich NULL Sicherheit.

DIESER WORKAROUND ERFOLGT AUF EIGENE GEFAHR! Ich würde das nur machen, wenn man sich wirklich bewusst ist, was man tut.

Tags: , , , , ,
Labels: IT

Keine Kommentare | neuen Kommentar verfassen

Montag, 28. September 2020

Mit coconutBattery unter macOS die Batterie von iPhone und iPad überprüfen

Seit längerem besitze ich eine Plus-Lizenz von coconutBattery. Dieses nützliche Tool zeigt die Batterie-Eigenschaften von iPhones und iPads an, die mit dem Mac verbunden sind.

Hier der Screenshot meines mittlerweile verkauften iPads:

Relevant sind folgende Attribute:

  • Manufacture date: An welchem Datum das Gerät hergestellt wurde
  • Design capacity: Die maximale Kapazität der Batterie, als das iPad vom Förderband lief
  • Full Charge Capacity: Die mittlerweile noch verbleibende maximale Kapazität der Batterie. Mit dem Gebrauch und jedem Ladezyklus sinkt die Kapazität; der Wert hier kann höchstens gleich der Design capacity sein, in den allermeisten Fällen wird der Wert aber unter der Design Capacity liegen
  • Unterhalb Design capacity (in Prozent): Die noch verbleibende maximale Kapazität im Verhältnis zur Design Capacity. Oder umgekehrt (wenn von 100 subtrahiert): Wie viele Prozent Kapazität die Batterie verloren hat, seit sie vom Förderband lief
  • Cycle Count: Wie viele Male die Batterie vollständig aufgeladen worden ist

Hier die Werte des (gebrauchten) iPads, welches ich als Ersatz für das oben abgebildete iPad Pro gekauft habe:

Wer also auf Tutti oder Ricardo nicht die Katze im Sack kaufen will, fragt den Anbieter an, einen solchen Screenshot zu posten. Dieser beantwortet alle offenen (Batterie-)Fragen.

Tags: , , , , , , ,
Labels: Apple

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 27. September 2020

Enttarnt: Ursula von der Leyens Nebenjob

Und das auch noch mit dem Tarnnamen Marine Beike, fungierend als Kundendienst-Manager? Nein, vermutlich doch eher ein Phisher, welchem nichts besseres einfiel, als das Photo einer berühmten deutschen und europäischen Politikerin für seine Machenschaften zweckzuentfremden.

A propos:

Tags: , , ,
Labels: Funny

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 27. September 2020

IKEA: Bewertungen nur mit deaktiviertem Werbeblocker möglich

Vor einigen Monaten habe ich einen IKEA NISSAFORS Servierwagen gekauft.

Dessen Zusammenbau war derart benutzerunfreundlich, dass ich mich zum ersten Mal in meinem Leben dazu genötigt sah, auf IKEAs Web-Site eine entsprechende Kundenbewertung abzugeben.

IKEA macht einem ein solches Unterfangen aber leider überhaupt nicht leicht:

(Man erinnere sich: Ich blockiere Werbe- und Trackingserver in unserem LAN auf DNS-Ebene mit BIND und einem Zone-File, welches im Internet verfügbaren Block-Listen gespeist wird)

Schlussendlich übermittelte ich die Bewertung von meinem MacBook aus, welches temporär über den 4G Hotspot meines iPhones ins Internet ging. Diese Kapriolen sollten auch gleich zeigen, wie gross mein Leidensdruck beim Zusammenbau des Servierwagens war.

Hier übrigens noch die Bewertung, im Volltext:

Optisch und funktionell; Zusammenbau eine Zumutung

Ich habe in meinem Leben dutzende IKEA-Produkte zusammengebaut; dieser Servierwagen war mit Abstand die schlechteste Erfahrung:

Die schwarzen Plasticschrauben zum Zusammenbau sind eine Zumutung. Sie bestehen aus zwei Teilen, die bei genügend Anpressdruck ineinander einschnappen. Ist das einmal passiert, kriegt man sie nur noch mit Müh und Not in den Ursprungszustand zurück. Das wäre kein Problem, wenn die Schrauben auf Anhieb so funktionieren würden wie es der Designer gedacht hat: Metallteile übereinanderlegen, Schraube rein, drücken, fixiert. Dem ist aber nicht so.

Die ersten vier Schrauben habe ich verknorzt, ohne dass die zu befestigenden Metallteile dann zusammenhielten. Meine Daumen schmerzten vom Anpressdruck. Als ich dann den Dreh raus hatte (Hammer hilft), musste ich die vier verknorzten Schrauben wieder für den Einbau fit machen (das heisst auseinanderziehen), da ja nur gerade die minimal nötige Zahl solcher Schrauben mitgeliefert wird.

Das klappte nur mit einem Japanmesser und viel, viel Fingerspitzengefühl und Geduld.

Schlussfazit: Optisch und funktionell super. Ich hoffe aber, dass bei Version 2 die Plasticschrauben mit etwas Brauchbarerem ausgewechselt werden. Die sind nicht IKEA-würdig.

Tags: , , , , ,
Labels: Shopping

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 27. September 2020

Nicht-leere Amazon AWS Glacier Vaults löschen

Ich habe vor einigen Monaten meine Storage-as-a-Service-Optionen konsolidiert: Tarsnap habe ich wegen den horrenden Kosten gekündet und setze nun auf Duplicity mit Backblaze B2. Und da ich gerade dabei war, lasse ich Arq, welches meine Apple Photos (früher: iPhoto Library) sichert, neu auch auf Backblaze sichern (vorher: AWS Glacier).

Um wiederkehrende Kosten zu sparen, wollte ich nun meine AWS Glacier Vaults löschen. Das geht aber nicht über das Amazon GUI, respektive nicht so einfach wie man sich das vorstellt:

Die Lösung ist ein Script, das im Internet herumgeistert. Ich fand es über Deleting Non-empty AWS Glacier Vaults in folgendem Github-Repository: leeroybrun/glacier-vault-remove.

Das schwierigste war, die mit dem Vault verknüpften AWS-Credentials ausfindig zu machen (ich habe offenbar mehrere). Diese musste man in credentials.json speichern …

{
	"AWSAccessKeyId": "...",
	"AWSSecretKey":   "..."
}

… und dann das Script ausführen:

$ python3 removeVault.py eu-west-1 ABCDE_iPhoto_Library

Das ganze liess ich in einer screen-Session auf einem meiner Debian GNU/Linux-Server laufen, denn das Löschen dauerte viele, viele Stunden.

Tags: , , , , , , , ,
Labels: Uncategorized

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 27. September 2020

Bye bye, Arlo

Heute Abend geht ein Arlo- und ein Arlo Pro-Paket an den Meistbietenden.

Der Auslöser: In der Nacht vom Samstag, 30. auf den Sonntag, 31. Mai 2020, wurde mein Fahrrad in den frühen Morgenstunden vom Veloabstellplatz vor unserem Haus entwendet. Obwohl ich den Abstellplatz mit einer Arlo Pro-Kamera gefilmt habe, die auf Bewegungen hätte reagieren sollen, lag für den entscheidenden Moment (irgendwann zwischen 4:10 und 5:12 Uhr morgens) kein Video vor.

Zu meiner Schande muss ich auch gestehen, dass ich den Diebstahl zufällig erst fünf Tage später entdeckte, weil ich das Velo in der Zwischenzeit nie gebraucht hatte. Aber das bringt mein Velo auch nicht mehr zurück.

Die Arlo Pro habe ich auf Grund dieses Vorfalls in der Zwischenzeit mit einer Wyze-Überwachungskamera ersetzt (iSmartAlarm Spot+ wäre eine baugleiche, wenn auch etwas teurere, Kamera, die hierzulande verkauft wird — die Software (Firmware & App) unterscheidet sich aber von Wyze).

Vorteile der Wyze:

  • Nur ca. 10-15 Prozent der Investitionskosten verglichen mit dem Arlo Pro-Set (Kamera, Basisstation, zweiter Batterie, Batterieladegerät, einem Stativ und Hüllen).
  • Da die Kamera mit einem USB-Netzteil und USB-Kabel permanent mit Strom versorgt wird, muss man einerseits nie Batterien wechseln.
  • Andererseits erlaubt diese permanente Stromzufuhr meiner Meinung nach eine deutlich bessere Bewegungserkennung und bessere Auflösung.

Nachteile:

  • Die Kamera ist permanent mit einem Ladekabel verbunden, was die Positionierung markant einschränkt (Stromanschluss in einem Radius von ca. 2 Metern, Kabelführung durch das Fenster)
  • Die Ereigniserkennung zeichnet in der kostenlosen Version nur einen Clip mit 12 Sekunden Länge auf; 90 Sekunden fände ich geeigneter

Tags: , , , , ,
Labels: Uncategorized

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 27. September 2020

Logik-Grundkurs mit Regula Rytz

Derzeit (14:31) sind 50 Prozent des Schweizer Stimmvolks gegen die Beschaffung neuer Kampfjets (ich gehöre auch zu dieser Gruppe).

Und jetzt kommt Regula Rytz mit dem für heute und bis jetzt geilsten Spin:

«Die Schweiz will, dass man dort investiert, wo es nötig ist – vor allem bei der Bekämpfung der Klimakrise», so Rytz.

Quelle: SRG-Hochrechnung: Alles offen bei Jagdgesetz und Kampfjets

Ich hätte schwören können, dass ich über Kampfjets abgestimmt habe … offenbar ging es doch ums Klima, konkreter um Investitionen in die „Bekämpfung der Klimakrise“? Ha!

Tags: , , ,
Labels: Politik, Schweiz

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 27. September 2020

Filme zum Geburtstags-Wochenende

Der Baader-Meinhof-Komplex

Anlässlich meines Geburtstages durfte ich am Freitag endlich mal aus dem Vollen schöpfen (aus meiner ellenlangen, noch zu schauenden BluRay- und DVD-Sammlung).

Die Wahl fiel auf Der Baader-Meinhof-Komplex — leider merkte ich erst mitten im Film, dass man diesen auf Grund seiner (Über)länge von fast 3 Stunden lieber nicht ab 23 Uhr abends zu schauen beginnt.

Fazit: Eine äusserst spannende (und krasse!) Geschichte, die meiner und nachfolgenden Generationen nicht wirklich präsent ist. Und doch zeigen sich auch hier viele Parallelen zur heutigen „Pandemie“- und Klimajugend-Besetzer-Zeit:

  • Eine polarisierte Gesellschaft dank dem Zusammenstoss von Kapitalismus und Kommunismus (Vietnam, Iran, …)
  • Revolutionskämpfer, die als Kinder gutbürgerlicher Eltern den Kapitalismus bekämpfen — indem sie sich auf Produkte verlassen, die genau dieser Kapitalismus hervorgebracht hat (u.a. in Porsches herumdüsen, wie gestört Zigaretten rauchen — sofern der Film das authentisch nachgezeichnet hat)
  • Revolutionskämpfer, die sich ideologisch immer mehr in eine Sackgasse steuern (sprich: radikalisieren) — ein exzellentes Beispiel von perfekt funktionierenden analogen Echokammern?
  • Revolutionskämpfer, die überzeugt sind, ausschliesslich Gutes und Heilbringendes zu tun und sich so über alles mögliches Recht stellen und insbesondere über Leben und Tod richten (und Banken leerräumen, denn Geld der Kapitalisten zu nehmen ist kein Diebstahl)
  • Revolutionskämpfer, die Verschwörungstheorien entwickeln, verbreiten, nähren und so — für mich höchst erstaunlicher — ihre Anhängerschaft vergrössern, und einem Zauberlehrling gleich sich in den nachfolgenden RAF-Generationen selber in noch schlimmerer Form neu erschaffen (sprich: dasjenige Ernten, was sie säen).

  • Aber auch ein Staat, der über lange Zeit nicht weiss, wie er den Revolutionskämpfern beikommen soll und kann

Eurovision Song Contest: The Story of Fire Saga

Gestern Samstag dann als Kontrapunkt äusserst leichte Kost: Eurovision Song Contest: The Story of Fire Saga. Ich war vorgewarnt, als ich Will Farrell sah — doch Rotten Tomatoes veranschlagte 64 Prozent, weshalb ich dem Film eine Chance gab. Während des Hängers in der Mitte des Films (meine Score zu dem Zeitpunkt: 30%) war ich kurz davor, aufzugeben. Zum Glück hielt ich dann doch noch durch, denn dieser Song hier ist der HAMMER:

Und hier noch die wahre Sängerin (notabene Schwedin, nicht Isländerin) hinter dem Song, im Zusammenschnitt mit den Filmszenen:

Und hier noch eine Version des Songs, mit äusserst netten Drohnenshots (aber: in Island?):

Und als Bonus noch der Song:

Dem Film würde ich allerhöchstens 40 Prozent geben.

Einige Observationen:

  • Ein weiterer Film à la Walter Mitty der vermutlich vom isländischen Tourismusbüro gesponsert worden ist (und/oder von den Schauspielern genutzt wurde, um endlich mal „gratis“ in Island Ferien zu machen)
  • Wer schon mal in Edinburgh war weiss, dass das Autorennen mit den Amerikanern keinen Sinn macht — aber sehr schöne Shots der Diagon Alley, und der Kathedrale, und auch sonst der Innenstadt
  • Ich mag keine Filme, in denen amerikanische Schauspieler mit gekünsteltem Akzent sprechen
  • Auch frage ich mich, wie der Streifen bei den Isländern selbst angekommen ist: Erstens meines Wissens kaum isländische Schauspieler, zweitens die ständige Persiflagen auf das Wikinger- und Schafzüchter-Volk auf der nordischen Insel
  • Selbstverständlich durfte auch das Hollywodsche Gutmenschentum nicht fehlen: Russland wurde im Streifen angefeindet, weil es Homosexualität unter Strafe stellt

Tags: , , , , , , , , , , , ,
Labels: Unterhaltung

Keine Kommentare | neuen Kommentar verfassen

Montag, 21. September 2020

Was ist eigentlich mit den Tönnies Corona-Infizierten geschehen?

Reden wir nicht lange um den heissen Brei herum:

Es gab 2117 Infizierte – niemand ist tot

Quelle: Traurige Bilanz 90 Prozent der Tönnies-Mitarbeiter steckten sich im Werk an (Artikel datiert auf den 1. September 2019)

Siehe dazu mein Artikel vom 28. Juni 2020: Corona in Schlachtbetrieben (und wie die Medien weiter Panik schüren).

Aktuell sind in Bern übrigens 10 positiv Getestete in Spitalpflege, davon 3 auf der Intensivstation (Quelle).

Und die einzige Corona-Statistik, welche ich mir seit Monaten ansehe (der Rest interessiert mich nicht mehr), zeigt seit Monaten 6 Tote unter 40 Jahren, sprich hat sich über all die Zeit keinen Millimeter nach oben bewegt:

Wie ich gerade realisiere haben wir mittlerweile die Grenze von 2000 Corona-Toten überschritten. Seit dem ersten positiven Test sind 209 Tage vergangen, was 9 Tote pro Tag ergibt. Zur Relation: In der Schweiz starben 2017 im Schnitt 183 Menschen. Pro Tag. (Quelle)

Andere Erkenntnis: Es fehlen somit nur noch 95’065 Tote, um Nehers pessimistischtes Szenario zu bewahrheiten.

Tags: , , , , , , ,
Labels: Gesundheit

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 20. September 2020

Diesen Sommer doppelt nützlich: Mückengitter

Es scheint mir, als würden die Sommer hier in der Region Bern immer wärmer. Tropennächte, d.h. Nächte, in denen die Aussentemperatur nicht unter 20 Grad fällt, nehmen zu. Die Städte sind zudem mit ihren vielen „versiegelten Flächen“ und fehlender, Schatten pendender Vegetation von der Hitze besonders betroffen.

Wir haben uns deshalb bereits im Frühling 2018 dazu entschieden, je ein Schlaf- und Wohnzimmerfenster mit einem Mückengitter auszustatten. Im Frühling 2019 kam dann noch das Bürozimmer hinzu, womit nun jeder (bewohnte) Raum in unserer Mietwohnung über ein Fenster mit Mückengitter verfügt.

Dies erlaubt uns, die Fenster in Sommernächten sperrangelweit zu öffnen und in den Räumen noch lange nach Sonnenuntergang grelles Licht brennen zu lassen, ohne dass wir anschliessend mit einer Insektenplage zu kämpfen hätten. Randnotiz: LED-Deckenlampen scheinen eine enorme Anziehungskraft auf die Viecher zu haben …

Hersteller / Lieferant

Für die Mückengitter haben wir auf eine qualitativ hochstehende Lösung gesetzt, die vom Fachmann installiert wurde. Ich wollte es mir nicht antun, im Fachmarkt eine halbbackene Lösung zu kaufen und dann Stunden damit zu verbringen, diese zu installieren. Oder das Gitter alle paar Tage neu adjustieren zu müssen.

Unsere Gitter stammen von Rollfix und wurden von Wolf Storen (Andreas Steiner) aus Innerberg installiert. Gesamtkosten seinerzeit: 665 CHF (2018), 365 CHF (2019). Hätten wir seinerzeit alles in einem Rutsch gemacht, hätte die Ausstattung von drei Fenstern mit Mückengittern insgesamt 970 CHF gekostet. Dies ist eigentlich auch das Einzige, was ich bereue: Nicht alle Fenster gleichzeitig ausgeführt zu haben.

Andere Kühlmassnahmen

Zudem haben wir noch zwei Ventilatoren angeschafft (ein leiser Dyson AM06 White fürs Schlafzimmer, Xiaomi SmartMi 2S fürs Büro mit heizendem IT-Equipment), welche wir dann in zwei Räumen auf ein Podest direkt ans Fenster stellen und starten, wenn die Aussentemperatur unter die Zimmertemperatur fällt. Diese „saugen“ dann kühlere Aussenluft ins Zimmer. So können wir das Volumen unserer Mietwohnung über Nacht jeweils angenehm kühlen. Bei Sonnenaufgang heisst es dann aber auf der Sonnenseite unserer Wohnung: Schotten dicht (Fenster schliessen) und Aussenstoren herunterfahren, damit die Wärme draussen bleibt. Funktioniert erstaunlich gut!

Und jetzt: Pandemie, Home Office und Aerosole

Da wir seit März im Home Office arbeiten, waren die Insektengitter nun auch mit Blick auf stetes Corona-Lüften mit Frischluft äusserst hilfreich.

Tags: , , , , , , ,
Labels: Bern

Keine Kommentare | neuen Kommentar verfassen