Herzblutfolgen

Meine beiden Schuldomains kvfg.net und kvfg.org hatten COMODO Zertifikate, die ich bei PSW aus der Kategorie Lite kaufte und die sich austauschen ließen. Bisher erfolgte die Lieferung derselben zusammen mit allen nötigen Dateien für den Aufbau einer passenden Zertifizierungskette. Dieses mal war dem nicht so.

Ich erhielt von PSW zwar wieder die cert.cabundle Datei – ein Austausch derselben gegen die vorhandene cert.cabundle reichte für Firefox aber nicht aus. Firefox meldete

sec_error_unknown_issuer

Chromium zickte nicht rum, dafür aber auch Rekonq und Konqueror. Nach der Lektüre von gefühlt 100 falschen Anleitungen im Netz und nach etwas herumprobieren, wie ich mir selbst die richtigen Teile einer Zertifizierungskette zusammenkleben könnte, weiß ich nun endlich, wie es geht:

Man besorgt sich hier bei Comodo die nötigen Dateien

  • COMODORSAAddTrustCA.crt
  • COMODORSADomainValidationSecureServerCA.crt
  • ComodoSSL.ca-bundle

und klebt diese mit cat in der folgenden Reihenfolge zusammen:

cat COMODORSAAddTrustCA.crt COMODORSADomainValidationSecureServerCA.crt ComodoSSL.ca-bundle > mydomain.bundle

DIese Bundle Datei kommt zur Direktive SSLCertificateChainFile:

SSLEngine On
SSLCertificateKeyFile /etc/apache2/ssl/mydomain/mydomain.key
SSLCertificateFile /etc/apache2/ssl/mydomain/certificate.crt
SSLCertificateChainFile /etc/apache2/ssl/mydomain/mydomain.bundle

Dann den Apachen neu starten, mit Firefox probieren und zur Sicherheit auch noch hiermit überprüfen: http://www.sslshopper.com/ssl-checker.html

Jetzt fehlt noch der Austausch meiner StartSSL Zertifikate, dann die große Passwortänderungsaktion und das Herzbluten wäre überstanden.

Alteschbühl

Wir haben uns die Füße wund gelaufen und jede blöde Zecke eingesammelt, die er Wald und der Waldrand hergaben, aber gefunden haben wir den nach Binder „mit Stangen“ abgedeckten Eingang zur Alteschbühl (in anderen Quellen: Alleschbühlhöhle) nicht.

Der gesamte Hügel ist eine Ansammlung an kleinen und kleinsten Dolinen. Da ist es schwer, die richtige zu finden, in der man mal mit dem Fuß das Laub wegschieben könnte, um besagte Stangen zu finden. Dazu kommen die wie immer nur groben Angaben in der Geotop-Datenbank des Landes, die unserer Erfahrung nach dazu noch nie auf den Meter genau sind, sondern nur eine grobe Orientierung bieten.

Frustrierend.

Aber wir kommen trotzdem wieder. Andere machen Geocaching – wir machen eben Geosearching.

Dobelhaldenschacht

Der Binder macht es einem mal wieder schwer mit der Angabe „250m WSW des Westendes des Parkplatzes Lichtenstein“ befände sich der Dobelhaldenschacht. Einfacher wäre eine Angabe, dass sich dieser 200m östlich des Ausweichparkplatzes Lichtenstein befindet.

https://www.openstreetmap.org/#map=19/48.40385/9.25170

Die umgebende Doline ist riesig, aber flach und an der Westseite auch noch geöffnet. So flach, dass man diese kaum als Sinkhole in OSM eintragen mag.

Der Dobelhaldenschacht selbst ist inzwischen doppelt gesichert. Einmal mit einem Gitter, das das Hineinfallen von Blättern verhindern soll und mit einem zweiten Gitter, das den Einstieg behindert.

So oder so – ohne Seil / Strickleiter kommt man nicht weiter, weil man zuerst rund 4m in die Tiefe muss. An der Oberfläche lässt sich ein vermutlich eingestürzter Seitengang noch in einer kleinen Karstwanne ein paar Meter Richtung Westen weiter verfolgen.

Wir sind die nähere Umgebung noch auf der Suche nach weiteren Karsterscheinungen abgelaufen. Aufgefallen ist uns heute nichts. Aber man könnte (sollte) einerseits in dieser Doline mal ein paar Steine umdrehen und andererseits die Felsenreihe an der Straße nach Lichtenstein richtig untersuchen. Denn: Der Dobelhaldenschacht scheint sich in diese Richtung fortzusetzen.

Ruine Holstein

Auf dem Weg zurück von Biberach mussten wir bei dem schönen Wetter einen kleinen Abstecher zu den Kleinhöhlen unterhalb der Ruine Holstein bei Stetten unter Holstein machen – ein wenig GPS und danach die üblichen Arbeiten bei OSM.

Schön ist es dort. Das nächste mal bringen wir Würstchen mit zum Grillen im Burghof.

2 zu 179

baloo

Ich geb KDE ja immer wieder eine Chance, seine eingebaute Suchfunktion unter Beweis zu stellen (siehe die Tags an diesem Artikel), aber ich lande immer wieder beim gleichen Ergebnis.

Baloo findet auf einem Kubuntu 14.04 nach zwei kompletten Tagen Zeit zur Indexerstellung zwei Dokumente mit „didacta“ als Text …

recoll

… und recoll findet nach ein paar Stunden Indexerstellung 179 Stück.

Ich weiß, was ich nutze und ich weiß auch warum.

Mailman spricht kein Deutsch

mailman_de

Wer auch immer die Pakete für mailman für Ubuntu packt – die deutschen Sprachdateien blieben außen vor. Man kann sich aber behelfen. Erst einmal schaut man nach, welche Mailman-Version sich das eigene Ubuntu gezogen hat:

dpkg -l | grep mailman

Auf einem 12.04 LTS sollte die Antwort sein:

ii mailman 1:2.1.14-3ubuntu0.1

Also holt man sich das entsprechende Sprachpaket hierzu direkt vom Mailman Server:

wget http://ftp.gnu.org/gnu/mailman/mailman-2.1.14-1.tgz

entpackt dieses (hier als root im Verzeichnis /root) und schiebt es an den richtigen Ort:

tar xfz mailman-2.1.14-1.tgz

cd /etc/mailman/

mv /root/mailman-2.1.14-1/templates/de .

Hiernach kann man die Sprache im Backend auswählen.

Apfelmus

Sonst sind Samstage ja immer ganz interessante Tage, weil der Postbote mein Dauergeburtstagsgeschenk c’t anschleppt. Heute musste ich mich schon im Vorfeld seelisch auf den Moment des Briefkastenöffnens vorbereiten, weil Heise vorhat, ins Rektum von Apple zu kriechen und eine Artikelserie „Umsteigen auf dem Mac“ angekündigt hat: es dürfte mal wieder in Richtung cool, sexy, funktioniert laufen.

Ich frage mich bei den immer mehr werdenden Fanboys immer, was sie unter „funktioniert“ verstehen. Dass Apple ein Patent auf das Fernabschalten der Camera im iPhone hält, damit die Erdogane dieser Welt gleich ganze Demos abknipsen können, bevor die Polizei den Knüppel auspackt? Dass man ein MacBook Pro nicht selbst reparieren kann, sondern immer zum Händler muss? Dass die Informationspolitik des Konzerns eine Katastrophe ist? Dass man nicht alles sehen und tun darf, was man sehen und tun könnte, weil der große Bruder mit seiner Zensurbehörde über die Geräte seiner Käufer/innen wacht? Dass der Konzern so lieb mit der chinesischen Regierung zusammen werkelt und dabei hilft die Umgehung der Internetsperren in einem autokratischen Regime zu verhindern? Usw usw usw …

Meine Bezeichnung für den ganzen Scheiß? Leni-Riefenstahl-OS! Passt viel besser und ruft die richtigen Assoziationen wach: Arroganz, Ignoranz, Überwachung, Kontrolle – Modernität, wie in der Dialektik der Aufklärung beschrieben.

Update

… zumindest das Editorial zeigte Hirn und  Verstand – auch wenn mir wesentliche Punkte fehlten.

Fohlenloch

2014-03-16_15-00-28

Für den Einstieg in die Saison kam heute das Fohlenloch, ca. 100m nördlich der Kläranlage bei Gammertingen an die Reihe. Diese fehlte noch in Openstreetmap, ebenso das diese umgebende Waldstück, was wir gerade eben korrigierten.

http://www.openstreetmap.org/#map=18/48.23980/9.22298

Eine wirklich nette Kleinhöhle. Im Eingangsbereich fällt von der rechten Seite aus einem kleinen Fenster etwas Licht in einige sehr kleine und sehr kurze Nebengänge, in denen ganz kleine Kinder sicher gerne herumkrabbeln. Dann macht der an dieser Stelle noch sehr niedrige Gang eine Rechtskurve und fällt ca. 2 bis 3 Meter in eine verlehmte Halle ab, die meiner Schätzung nach ca. 2,5m hoch, 10m breit und ca. 7m lang ist. Insgesamt dürfte es die Kleinhöhle auf rund 30m bringen.

An zwei evtl auch drei Stellen der Halle könnte es einen jucken, nach einer Schaufel zu greifen. Mit Sicherheit gewänne diese noch an Länge, wenn man nur weiter grübe, auch wenn aktuell kein Zug zu spüren war.

2014-03-16_15-01-23

Der Gang war wohl einst zur halben Höhe mit Sedimenten plombiert und wurde nach Binder von Gammertinger Bürgern ausgegraben. Noch heute sind die unteren Teile ziemlich dreckig. Im oberen Teil der Wände und an der Decke findet man viele hübsche Sinter-Kleinformen wie Strudelkolke und wurmlange Tropfsteinchen in reinweiß. Auf dem Boden der Endkammer liegen größere Geröllheimer herum, was darauf hindeuten könnte, dass es sich um eine Hallenbildung durch Versturz handelt. Auf Grund des dicken, zähen Lehms am Boden konnte ich das aber nicht weiter überprüfen.

Insgesamt eine wirklich interessante und hübsche Höhle in einer kleinen Felswand, die neben dem Fohlenloch noch einige weitere Kleinsthöhlen zum angucken enthält. Man kann sich hier mit Kindern auf 100m Fels und Wald bestimmt zwei Stunden beschäftigen.

2014-03-16_15-18-59

In dem zerfressenen Felsen ist z.B. der Eingang zu einem Unterstand nur ca. 20m weiter am Hang in Richtung Gammertingen zu finden. Wenn das Wetter richtig passt, dann gibt es noch weitere Objekte, die zu bekriechen sind.

Da wir sicherlich wieder zum Fohlenloch gehen werden, habe ich mal versucht, aus der Erinnerung eine kleine Karte zu zeichnen:

IMG_20140316_173926

phpList

Im Moment geht es hier nur noch um Schule … Anyway. Mit dem Umzug unseres Mailservers weg von 1und1 auf unsere eigene Kiste (und damit dem Umstieg von dienstlichen Mailweiterleitungen auf Mailkonten – siehe die Artikel zu Horde 1 2) muss auch die Mailingliste umziehen. Mailman wollte ich meinen Kollegen (und vor allem mir, was den Support angeht) nicht zumuten, weshalb ich auf phpList kam. Das Ding kann zwar nur Newsletter und ist gegenüber Mailinglisten blind – aber anders verwenden wir die bestehenden Listen so oder so nicht.

Die Installation lief glatt – was ich als sperrig und wenig intuitiv empfand, war die Konfiguration. Für die Verarbeitung von Mailbounces wollte das Ding zuerst nicht mit meinem Dovecot über STARTTLS sprechen, so dass am Ende nur ein

$bounce_mailbox_port = „110/pop3/novalidate-cert“;

trotz offiziell signiertem Zertifikat half.

Ein Listenarchiv bringt phpList leider nicht mit. Man kann sich ein solches aber mit Hilfe des Downloads und der Beschreibung auf der folgenden Seite auch für eine aktuelle Programmversion nachziehen:

http://www.alangeorge-photography.com/listCode_027.php

Irgendwo in den Beschreibungsseiten von phpList fand ich dann noch einen Codeschnipsel für den Link zum Newsletter-Archiv: In der index.php finden:

printf(‚<p><a href=“./?p=unsubscribe“>%s</a></p>‘,$strUnsubscribeTitle);

und direkt darunter ergänzen um:

// custom code – start
if (isset($strArchiveTitle))
$TitleArchive = $strArchiveTitle;
else
$TitleArchive = „Newsletterarchiv ansehen“;
printf(„\r\n“ . ‚<br><h2>Archiv</h2> <p><a href=“archive.php“>%s</a></p>‘, $TitleArchive);
// custom code – end

ZwangsGnuPG

Hier überlegte ich noch, ob wir nicht an der Schule ein Horde mit Verschlüsselungsfunktion für die Kollegen einrichten sollten und wollte dies zuerst ausführlich mit ein paar Unerschrockenen testen. Soweit ist es noch nicht – aber die nächsten Schritte stehen an … und da fiel der Blick auch wieder zurück auf mögliche Alternativen und Erweiterungen.

Daniel und ich diskutierten die Möglichkeit einer Autoverschlüsselung von E-Mails, wenn diese an Kollegen gerichtet sind. Technisch ginge das z.B. mit:

  • GNU Anubis (ein message submission daemon). Der wird aber seit ein paar Jahren wohl nicht mehr weiter entwickelt;
  • DJIGZO (ein Gateway), das im Prinzip recht interessant aussieht, aber leider nur S/MIME und encrypted PDF kann;
  • gpg-mailgate (ein Postscript Filter) und dessen Forks, der das leisten würde, was wir diskutierten, aber noch ziemlich frisch ist;

Für uns schien zuerst gpg-mailgate der vielversprechendste Kandidat zu sein – aber noch kann gpg-mailgate kein Multipart. Die Anhänge würden demnach unverschlüsselt durchrutschen und genau da stecken bei uns die relevanten Informationen drin.

Dazu kommen noch weitere Kritikpunkte an der Idee an sich:

  1. jede Nachricht zu verschlüsseln ist eigentlich overkill, weil wir bei Mails von Kollege1 an Kollege2 lediglich lokal einen copy machen;
  2. Es nervt, jedes mal ein extra Passwort für den Key einzugeben, nur um eine harmlose Mail zu lesen. Das führt zur Ablehnung des Gesamtsystems und zu verdammt kurzen Passwörtern. Diesen Weg könnten wir nur beschreiten, wenn wir auch automatisch entschlüsseln (also der Kontologin den Private Key gleich mit auspackt);
  3. Es entlastet zwar – aber damit verhindert es auch, dass man sich mit dem Thema Datenschutz überhaupt auseinander setzt. Es ist demnach anti-aufklärerisch … und wenn dann alle Kollegen gar nicht mehr denken, weil ja alles automatisch passiert, dann denken sie auch nicht mehr an das Thema, wenn sie eine Mail an Eltern verfassen. Datenschutz ist eben auch und vor allem eine Kopffrage.

Im Moment will ich lieber keinen ganz so radikalen Schritt. Wir sollten auf den Kopf unserer akademisch gebildeten Kollegen setzen, das Thema damit warm halten und lieber riskieren, dass mal die eine oder andere Mail unverschlüsselt durchläuft – also auf unserem Mailserver von /home/mailuser/1 nach /home/mailuser/2 kopiert wird.

Ein fester Slot „Datenschutz“ in jeder (zweiten?) GLK, evtl. noch nett verpackt als Rätselaufgabe zu einem aktuellen Fall, halte ich im Moment für zielführender und wirksamer.

Wenn wir dann eines Tages doch noch auf die Default-Verschlüsselung umsteigen wollen, dann könnte Horde selbst schon genug können, sofern den Kollegen klar ist, warum sie dies tun sollen.

hordeeinstellunggpg

In den Einstellungen von Webmail kann bei Horde im Bereich „Erstellen“ hinterlegt werden, dass jede neue Nachricht standardmäßig unterschrieben und verschlüsselt werden soll. Das kann ein Nutzer dann zwar wieder abknipsen … aber dann haftet er auch. Oder man nagelt diese Einstellung in der Datenbank über die Konfiguration von Horde selbst fest, statt sich mit mail-gateway und Freunden gleich die nächste zu betreuende Technik an Bord zu holen.