Im Frühjahr 2025 habe ich mir für eine Wochenaufenthalter-Wohnung einen Kleinst-Laserdrucker angeschafft.
Ich schwöre seit Jahren auf Xerox — primär wegen der Kompatibilität zu macOS, aber auch, weil Abgänger dieser Firma Adobe gründeten und PostScript erfanden, welche wiederum Apple für den LaserWriter auswählte. Normalerweise kaufe ich mir davon die MFPs (aktuell: B235)
Die Wahl fiel auf den Xerox Phaser 3020. Kaufen würde ich das Ding nicht noch einmal, weil es nach einer Weile die WiFi-Verbindung zum Netzwerk verliert, und dann nur wieder auftaucht, wenn man das Gerät mittels Bedienbuttons (nicht dem Stromschalter) ausschaltet, und wieder einschaltet.
Auf der Suche, die Situation zu verbessern, wollte ich mich im Web-Interface umschauen. Um aber in den Konfigurationsbereich zu kommen, benötigt man Zugangsdaten. Nach einigem Pröbeln hier die Lösung:
Benutzername:admin
Kennwort:1111
Ganz wichtig: Beim Benutzernamen spielt die Gross- und Kleinschreibung eine Rolle. Liebesgrüsse an die Entwickler in Norwalk CT, USA. Meiner bescheidenen Meinung nach sollte eine Software den Benutzernamen (intern) homogenisieren (entweder alles gross, oder alles klein), aber das Kennwort genau so hashen, wie es übermittelt wird. Seufz.
Da ich admin zuerst falsch geschrieben hatte, machte ich mich auf die Suche nach dem Kennwort. Sowohl die Empfehlung mit der Seriennummer (bedingt, dass man den Drucker öffnet), wie auch die Konfigurationsseite führten nicht ans Ziel.
Kürzlich habe ich meinen Mac mini (Late 2012) verkauft. Als ich das Gerät frisch formatiert und aufgesetzt habe, habe ich realisiert, dass sich der Mac im Recovery-Modus automatisch mit meinem WLAN verbindet. Das konnte nur bedeuten, dass das Passwort für mein WLAN-Netzwerk auch noch ausserhalb der frisch formatierten Festplatte abgelegt sein musste.
Ich entschied mich deshalb, das NVRAM des Mac minis zu löschen. Das funktioniert, indem man beim Booten folgende Tastenkombination drückt und gedrückt hält:
Es gibt Momente, da möchte man nicht, dass der lokale ssh-agent alle vorhandenen Private Keys durchprobiert, um auf einen SSH-Server einzuloggen, sondern einem das Eingabefenster für das Passwort präsentiert.
Wer nur ein Quäntchen Sicherheitsbewusstsein besitzt, setzt heute Passwortmanager ein und verwendet für jeden Web-Service ein einzigartiges Passwort. Die besten Passwortmanager klinken sich mittlerweile auch mittels Erweiterungen in die Web-Browser ein und erlauben es so, Login-Formulare auf Knopfdruck auszufüllen, ohne dass man noch manuell Copy & Paste machen muss.
Leider scheint diese Technologie noch nicht bei allen Web-Entwicklern angekommen zu sein. Immer wieder stosse ich in meinem Alltag auf Web-Sites, bei denen minderbelichteter, selbsternannter „Security-Spezialist“ entschieden hat, dass Copy & Paste in eine Passwort-Feld ganz, ganz, ganz pöhse ist und deshalb unterbunden werden muss.
Was für mich bedeutet, dass ich das kryptische, 16-stellige Passwort von Hand abtippen muss. Oder aber ich mache mir das Safari Web-Developer-Menu und die JavaScript-Konsole zu nutze und setze das Passwort-Feld halt mit JavaScript-Befehlen (in der Konsole funktioniert Copy & Paste problemlos):
Zuerst finde ich die DOM ID des Passwort-Feldes heraus …
… dann wechsle ich in die Konsole und setze den Passwort-Wert:
Anschliessend klicke ich in der Web-Ansicht auf „Login“. Et voilà!
Die Idee war rückblickend doch nicht so genial, das Benutzerpasswort meines Asus RT-AC66U mit Merlin-Firmware ein Sonderzeichen enthalten zu lassen.
Glücklicherweise hatte ich meinen öffentlichen SSH-Schlüssel auf dem Router hinterlegt und konnte mich so zumindest per SSH einloggen. Einmal auf der Kommandozeile, führte ich folgende Befehle aus:
# nvram show | grep http_passwd
http_passwd=?einganzlangespasswort
# nvram set http_passwd="12345678"
# nvram commit
… verwenden bei Passwortfeldern in ihren Web-Formularen über CSS-Klassen aktivierte JavaScript-Helper wie js_preventpaste, damit ich meine Passwörter ja nicht 24 kryptische Zeichen lang machen, in 1Password ablegen und mittels Mausklick automatisiert mit simuliertem Copy & Paste in dein bescheuertes Formular einfügen kann!
Gratuliere. Du hast deine Web-Applikation gerade schnell mindestens hundert Mal sicherer gemacht. NOT.
Vor einigen Wochen habe ich im Zuge eines apt-get upgrade MySQL auf meinem Linux-Server zu Hause aktualisiert. Wie gelegentlich der Fall resultierte das Update in einem Kollateralschaden. In meinem PHP Error-Log las ich nach dem Update für einige meiner Web-Applikationen folgendes:
MySQL returned error #2049: Connection using old (pre-4.1.1) authentication protocol refused (client option 'secure_auth' enabled)
Nach etwas Googeln stellte sich heraus, dass einige meiner MySQL-Benutzer ihr Passwort noch mit einem uralten MySQL-Hash in der Datenbank liegen hatten:
Support for pre-4.1 password hashes is removed in MySQL 5.7.5. This includes removal of the mysql_old_password authentication plugin and the OLD_PASSWORD() function.
Nachdem ich die Klartext-Passwörter im PHP-Code der Applikationen ausfindig gemacht hatte, änderte ich diese mittels phpMyAdmin in den MySQL-Benutzertabelle und verwendete dafür die PASSWORD()-Funktion.
Noch ein FLUSH PRIVILEGES, und die Web-Applikationen funktionierten wieder ohne Murren.
Kürzlich habe ich die WLAN-Infrastruktur zu Hause umgestellt und betreibe nun einerseits ein Legacy-Netz mit 802.11n auf 2.4 GHz sowie ein 802.11ac/n-Netzwerk, welches auf 5 GHz funkt.
Um Geräte zu finden, welche kein 5 GHz funken können, benannte ich das Legacy-Netz um („…-LEGACY“). Und siehe da, der ZyXel-Adapter des Raspberry Pi Dashboards musste umkonfiguriert werden wie auch der Fujitsu ScanSnap-Scanner. Erst einige Tage nach der Umstellung realisierte ich beim Wägen meines Gewichts dann auch, dass die Withings WS-30 offenbar auch keinen 5 GHz-Funkchip verbaut hat.
Doch wie setze ich das WiFi-Passwort der Waage neu? Nach dem vielmaligen Betätigen der Setup-Taste an der Unterseite der Waage, viel pröbeln mit der Smartphone App, einem Besuch des cloud-basierten Web-Dashboards des Herstellers und dem Download eines Mac OS X-Clients fand ich dann endlich die Lösung, vergraben in Withings Knowledgebase:
Kurz: Man tut so, als würde man die Waage über die Smartphone-Applikation neu installieren, beachtet dann aber die Angaben auf dem Smartphonebildschirm und zweigt im Konfigurationsdialog am richtigen Zeitpunkt ab. Damit klappte die Verbindungsaufnahme der Waage mit dem WiFi dann innert wenigen Sekunden.
Gestern hat die Rundschau mit dem Beitrag über Biometrische Pässe einen neuen Tiefpunkt erreicht (Dank: irgendein Twitterer da draussen). Zwanghaft wurde versucht, die Gegner des biometrischen Passes mit einer christlichen Sekte in Verbindung zu bringen. Anstelle dass die Sendung auf Fakten basiert die Vor- und Nachteile des neuen Passes aufgezeigt hätte (was im Grunde ja der gesetzliche Auftrag des Staatsfernsehens ist und womit nicht zuletzt auch unsere Billag-Gebühren begründet werden), versuchte man – wohl der Schlagzeile wegen – krampfhaft, alle Gegner in dieselbe Liga wie Saseks christlicher Fundi-Sekte „Organische Christus-Generation“ einzureihen. Wer gegen den verchippten Pass sei, so wurde unterschwellig suggeriert, sei wie Sasek & Co. auch Anhänger der Grossfamilie, gegen Homosexuelle, fürchte den Genozid an religiösen Minderheiten, möchte die Einpflanzung eines Chips in seinen Körper verhindern und habe Angst, dass der Staat seine Bürger mit diesem Chip non-stopp (wie auch immer) überwachen kann.
NEIN!
Obwohl ich mich mit Saseks Sache keinen Millimeter weit anfreunden kann, bin auch ich gegen die Einführung des biometrischen Passes. Als wohl eines der wenigsten Ländern dieser Welt hat die Schweizer Bevölkerung im Mai 2009 die Möglichkeit, über die Erfassung biometrischer Merkmale all seiner Bürger durch den Staat abzustimmen. Aus meiner Sicht bringt diese Datensammel-Wut ausser Spesen rein gar nichts. Weder können durch den verwanzten Pass Terror-Attacken verhindert werden, noch gestaltet sich die Ein- und Ausreise in paranoide Länder einfacher. Im Gegenteil: Um den neuen Pass zu erhalten, muss ich wohl einen halben (oder je nach Wohnort gleich einen ganzen) Arbeitstag freinehmen, um mich Abzulichten und Fingerabdrücke anfertigen zu lassen. Für den ganzen Gspass zahle ich dann noch deutlich mehr als es für die alten Pässe der Fall war. Abgesehen von solchen ökonomischen und praktischen Problemen geht es mir aber auch ums Prinzip: Jeder Schweizer soll selber entscheiden dürfen, ob er sich den Biometrie-Pass antun will/muss (ich kann mir durchaus vorstellen, dass sich nicht wenige Geschäftsleute für den High-Tech-Pass entscheiden werden, um rascher durch die Zollkontrollen zu kommen) oder weiter mit seinem alten, immerhin „maschinenlesbaren“ Pass in der Weltgeschichte rumgurken will. Und ja, lieber Staat – dann nehme ich halt auch in Kauf, dass ich statt in 5 Minuten halt in 20 Minuten durch den Zoll komme und vorher im Heimatland noch ein Visum beantragen muss. Sollen diese Biometrie-Pass-Fundis nur eine anständige Visums-Bürokratie in ihren Botschaften aufbauen …
Die NZZ weist in ihrem Leitartikel (Zufall, dass er ausgerechnet am Tag nach der journalistischen Betriebsunfall im Leutschenbach erscheint?) noch auf einen weiteren Punkt hin:
Stein des Anstosses ist der Umstand, dass die biometrischen Daten auf einer zentralen Datenbank beim Bundesamt für Polizei gespeichert werden sollen. Der Schengen-Acquis fordert derlei nicht. Also ist nicht einzusehen, warum jeder Passbesitzer seine persönlichen Daten dem Staat übergeben soll. Die Begründung des Bundesrates, die zentrale Speicherung erschwere die missbräuchliche Verwendung von Pässen, genügt nicht, um die informationelle Selbstbestimmung derart einzuschränken. Umfassende Datenbanken wecken nach aller Erfahrung Begehrlichkeiten. Auch wenn die Regierung einstweilen versichert, dass die Daten nicht für Fahndungszwecke verwendet werden sollen, ist dies in Zukunft nicht auszuschliessen.
Die Attacke der Rundschau auf die Gegner ist ein Nebenkriegsschauplatz und hat mit seriösem Journalismus kaum mehr etwas gemein. Pfui SF! Nehmt euch ein Beispiel an derjenigen Postille, die mitten im Wettkampf um den besten boulevardschen Ausrutscher und im Kampf gegen Gratiszeitungen noch ein klein wenig Journalismus und eigenes Denkvermögen an den Tag legt.
Nachtrag: Man sollte zudem auch skeptisch sein, ob dieser Pass tatsächlich nie von unerlaubten Dritten ausgelesen werden kann. Das Schweizer Fernsehen rettet die verloren gegangene Ehre mit folgendem Beitrag in einer der wenigen Sendungen, für die sich das Gebührenzahlen noch lohnt:
Mario Aeby, geboren am 25. September 1980 in Bern, Schweiz
Ein Weblog über IT (Linux, OSS, Apple), Heim-Automation; mein mittlerweile abgeschlossenes Geschichtsstudium; Erkenntnisse aus meiner aktuellen Tätigkeit in der Informationssicherheit, meine Erfahrungen als IT-Berater, IT-Auditor, Web-Developer und IT-Supporter; die Schweiz, den Kanton Bern, meine ursprüngliche und auch wieder aktuelle Wohngemeinde Neuenegg, meine vorherige Wohngemeinde Bern, über lokale, regionale und globale Politik; meine Reisetätigkeit und Erfahrungen mit anderen Kulturen; und zu Guter letzt auch das Älter werden.
Alle in diesem Blog gemachten Aussagen und Meinungen sind persönlich und nicht als Ansichten meines aktuellen und/oder meiner bisherigen Arbeitgeber zu verstehen.
offenbar auch keinen 5 GHz-Funkchip verbaut hat.
