Nachdem ich mein Helios64 NAS von Kobol nun in Echtbetrieb habe und im Zuge der...

von Daniel am 26.11.2020 19:01

Da Bullseye nun im ersten Freeze angekommen ist, habe ich auf meinem Laptop PCLinuxOS wieder runtergeworfen und nun parallel zu Buster Bullseye installiert.

Dabei habe ich natürlich wieder allerlei Dinge einstellen und feintunen müssen, weil ich absichtlich eine Neuinstallation mit frischem Home machen wollte.

Ausser den emails, also alles was thunderird im .icedove installiert und runtergeladen hat, das wollte ich behalten.

Leider sind die Buster und Bullseye Versionen nicht einfach kompatibel und führten dazu, dass alle emails erneut runtergeladen werden mussten.

Nach einigem Probieren habe ich dann aufgegeben, ich werde thunderbird nun nur noch im Bullseye aufrufen.

Steam lasse ich hier mal aussen vor, das funktioniert wegen fehlender i386 libs in Zusammenhang mit dem neuesten NVIDIA Treibern (noch) nicht.

Edit: Doch, heute probiert apt install nvidia-driver-libs:i386

steam geht.

Hier die einzelnen Punkte, die ich konfiguriert habe:

Default Einstellung ist wayland, doch damit habe ich einen schwarzen Bildschirm nach dem Standby bedingt durch Nvidia  und habe keinen Weg gefunden das zu umgehen. Deshalb habe ich am Greeter bei den Sessions Xorg genommen. Damit ist es wieder wie früher. Auf meinem T500 ist wayland dagegen OK, hat ja auch nur die Intel Grafik.

Sind hier Links, dann geht es zum detailliertern Eintrag im Blog

• Terminal
• gnome
  flameshot an Tastenkombination binden
  Vorgabe-Anwendungen einstellen
• chromium
  früher habe ich umatrix benutzt, nun den privacy Badger
• webcam XC1506
  apt install bison
• email
  Neuinstallation, also altes Profile gelöscht, war mir zu anstrengend
  Thunderbird Filter übernehmen.
• Drucker DCP-7055 
• cups installieren
• Die Pakete von Brother runterladen https://support.brother.com
  und installieren (dpkg -i hat bei mir gereicht)
  cupswrapperDCP7055-2.0.4-2.i386.deb
  brscan4-0.4.9-1.amd64.deb
  dcp7055lpr-2.1.0-1.i386.deb
  brother-udev-rule-type1-1.0.0-1.all.deb
  Testseite Drucken und Scannen ging dann ohne weitere Klimmzüge
•  

Wird noch ergänzt, wenn mir noch etwas auffällt.

Ps: Der Artikel wurde am 11.11. begonnen

von bed (nospam@example.com) am 26.11.2020 17:36

Thunderbird 78.5 Filter exportieen / importieren

Ich habe 2 Rechner mit derselben Version von Thunderbird (78.5) Bullseye.
Also physikalisch getrennt.
Nun würde ich gerne die Nachrichtenfilter vom Hauptrechner auf den anderen übertragen.

Wahrscheinlich muss ich mir aus dem .profile von thunderbird die richtige Datei suchen und kopieren.

Lösung 
Die Datei ist:msgFilterRules.dat

.thunderbird/123456789xxdefault/ImapMail/domain.de/msgFilterRules.dat

von bed (nospam@example.com) am 25.11.2020 10:37

In diesem Artikel möchte ich diskutieren, ob die Nutzung der SSH-Client-Option ForwardAgent sicher und sinnvoll ist. Wie so häufig bei Themen der IT-Sicherheit geht es auch hier um die Abwägung zwischen Sicherheit und Bequemlichkeit.

Der SSH-Agent nimmt den privaten SSH-Schlüssel auf und stellt diesen für SSH-Verbindungen bereit, so dass nicht bei jeder neuen SSH-Verbindung die Passphrase eingegeben werden muss.

Dabei wird ein UNIX-Socket erstellt und in der Variablen SSH_AUTH_SOCK gespeichert. Der folgende Code zeigt dies beispielhaft:

$ echo $SSH_AUTH_SOCK
/run/user/1000/keyring/ssh

In der ssh_config(5) findet sich die Option ForwardAgent, mit deren Hilfe der SSH-Agent auf einen entfernten Rechner weitergeleitet werden kann. Ist diese Funktionalität aktiv, kann man sich mit dem im SSH-Agenten gespeicherten privaten SSH-Schlüssel zu einem entfernten Rechner verbinden und von dort aus unter Nutzung des gleichen Schlüssels Verbindungen zu weiteren Rechnern aufbauen.

In den meisten Linux-Distributionen ist diese Option standardmäßig deaktiviert, da sie ein potenzielles Sicherheitsrisiko darstellt. Gelingt es einem Benutzer, die Dateiberechtigungen auf dem entfernten Rechner zu umgehen, kann er den lokalen Agenten benutzen, um Operationen durchzuführen, die nur mit dem im SSH-Agenten gespeicherten SSH-Schlüssel möglich sind. Ich möchte dies im Folgenden an einem Beispiel veranschaulichen.

Die Umgebung

Für den Versuch kommen die drei Linux-Rechner host-a, host-b und host-c zum Einsatz. Auf allen drei Hosts existiert der User foo, welcher mittels sudo zum root werden kann. Darüber hinaus existiert auf host-b User bar, welcher ebenfalls mittels sudo zum root werden darf.

Gezeigt wird, wie bar durch Wechsel in den Kontext des Users root die Dateiberechtigungen für den Unix-Socket des SSH-Agenten von foo umgehen kann, um mit dessen Informationen eine SSH-Verbindung zu host-c herzustellen, was ihm sonst nicht gestattet ist.

Der Versuchsablauf

In diesem Abschnitt wird der Ablauf wiedergegeben, der dazu führt, dass bar Zugriff als foo auf host-c bekommt.

host-a

Auf host-a existiert ein Unix-Socket für den SSH-Agenten. Der User foo nutzt diesen, um eine Verbindung zu host-b aufzubauen. Dabei wird die Option ForwardAgent aktiviert:

foo@host-a:~$ echo $SSH_AUTH_SOCK
/run/user/1000/keyring/ssh
foo@host-a:~$ ssh -o ForwardAgent=yes  host-b
[...]
foo@host-b:~$

host-b

Wir sind jetzt via SSH als User foo auf dem host-b eingeloggt. Da wir die Weiterleitung des SSH-Agenten aktiviert haben, existiert jetzt auch hier ein entsprechender Unix-Socket. Die Dateiberechtigungen sind so gesetzt, dass nur foo darauf zugreifen darf. Der folgende Codeblock veranschaulicht dies.

foo@host-b:~$ echo $SSH_AUTH_SOCK
/tmp/ssh-fxwQXNlZrS/agent.32579
foo@host-b:~$ ls -ld /tmp/ssh-fxwQXNlZrS
drwx------ 2 foo foo 4096 Nov 24 14:47 /tmp/ssh-fxwQXNlZrS
foo@host-b:~$ ls -l /tmp/ssh-fxwQXNlZrS/agent.32579
srwxr-xr-x 1 foo foo 0 Nov 24 14:47 /tmp/ssh-fxwQXNlZrS/agent.32579

Neben foo ist auch User bar auf host-b eingeloggt. Die Variable SSH_AUTH_SOCK dieses Users ist leer und bar wird beim Versuch, sich mit host-c zu verbinden, zur Eingabe eines Passworts aufgefordert.

bar@host-b:~$ echo $SSH_AUTH_SOCK

bar@host-b:~$ ssh foo@host-c
foo@host-c's password:

bar@host-b:~$ ls -l /tmp
drwx------ 2 foo   foo   4096 Nov 24 14:56 ssh-fxwQXNlZrS
bar@host-b:~$ ls -l /tmp/ssh-fxwQXNlZrS
ls: cannot open directory '/tmp/ssh-fxwQXNlZrS/': Permission denied

Da bar das Kennwort von foo unbekannt ist, geht es auf diesem Weg nicht weiter. Jedoch kann bar erkennen, dass auf dem System ein Unix-Socket mit einem SSH-Agenten für foo existiert. Der nun folgende Codeblock zeigt, wie bar über einen Umweg den SSH-Agenten von foo nutzt, um sich mit host-c zu verbinden.

bar@host-b:~$ sudo -i
[sudo] password for bar:
root@host-b:~# ssh foo@host-c
foo@host-c's password:

root@host-b:~# SSH_AUTH_SOCK=/tmp/ssh-fxwQXNlZrS/agent.32579
root@host-b:~# export SSH_AUTH_SOCK
root@host-b:~# ssh foo@host-c
[...]
foo@host-c:~$

Der User bar hat es geschafft, sich als foo an host-c zu authentifizieren. Das ist foobar!

Schlussfolgerung

Der hier durchgeführte Versuch zeigt, dass die Option ForwardAgent ein Sicherheitsrisiko birgt, wenn es auf einem entfernten System Benutzer gibt, welche die Dateiberechtigungen, wie in diesem Artikel gezeigt, umgehen können.

Ich empfinde es daher als gut und sinnvoll, dass diese Option standardmäßig deaktiviert ist.

Kann man jedoch ausschließen, dass die Dateiberechtigungen umgangen werden, z. B. weil keine weiteren Nutzer auf dem entfernten Rechner existieren bzw. auf diesen zugreifen können, spricht in meinen Augen nichts dagegen, diese Option zu nutzen und sich den Alltag etwas komfortabler zu gestalten.

von Jörg Kastning am 25.11.2020 06:00

Zuerst einmal an alle, die sich hier, über meinen Pi Network invitation code, dem Pi Network angeschlossen haben, ein riesiges Dankeschön :-)

Heute möchte ich einen zweiten Pi Network invitation code veröffentlichen.
Es ist der invitation code meiner Schwester und sie würde sich freuen, wenn Ihr sie auch in eurer Earning Team hinzufügt.

Pi ist eine neue digitale Währung mit über 8 Millionen Mitglieder weltweit, die von Stanford PhDs entwickelt wurde. Um Ihre Pi zu beanspruchen, folgen Sie diesem Link https://minepi.com/BessieMae und verwenden Sie meinen Benutzernamen (BessieMae) als Einladungscode.

24.11.2020 12:05

Unter openSUSE benutze ich QEMU/KVM und die Virtuelle Maschineneverwaltung (virt-manager) als GUI. Als virtuelle Maschinen laufen Linux- aber auch ein Windows-Rechner.

Damit die Windows-Maschine über Remotedesktop (RDP) erreichbar ist, müssen die Kommandozeilenargumente an QEMU durchgereicht werden, mit denen man den Port in KVM weiterleiten kann. Dazu wird die Konfigurations-Datei, die in XML geschrieben ist, bearbeitet:

sudo virsh --connect qemu:///session edit Windows10

Der Befehl öffnet den VIM-Editor, mit dem man die Konfigurationsdatei bearbeiten kann. Die erste Zeile der Datei wird um folgenden Eintrag erweitert:

Damit ermöglicht man es KVM, Kommandozeilenparameter von QEMU zu akzeptieren. In unserem Fall soll der Port für RDP vom Host zum Gast weitergereicht werden. Dazu trägt man gleich unter der ersten Zeile folgenden XML-Code ein:

Das Werkzeug zum Verwalten virtueller Maschinen virsh sortiert den Eintrag dann an die richtige Stelle in der XML-Datei nach dem Speichern.

Unter openSUSE muss dann noch firewalld mitgeteilt werden, dass der RDP-Port geöffnet werden soll, damit eine Verbindung hergestellt werden kann:

firewall-cmd --permanent --add-port=3389/tcp
firewall-cmd --reload

Unter Windows muss noch in den Einstellungen unter dem Punkt „Einstellungen für Remotedesktop“ der Remotedesktop aktiviert werden.

Als Client gibt es Remmina für den Zugriff über RDP. Dort fügt man eine neue Verbindung hinzu und verbindet sich mit seiner Windows-VM.

Remmina Remotedesktop Client mit Zugriff auf Windows 10 über RDP.

von Christian Imhorst am 21.11.2020 18:38

18.11.2020 — 10:50h: Heute soll es soweit sein. Die neue AMD Grafikkartengeneration soll auf den...

von Daniel am 18.11.2020 17:33

Geniessen Sie die Vorstellung
Es ist Evolution

Fear Transfusion

(Keine Revolution)

PS: Sie haben auch ein sehr schönes Cover von She Wolf gemacht: She Wolf ( Falling To Pieces ) ft. Sia - Dharma Cover

14.11.2020 17:46

Ich gehöre ja zu den Paranoiden, die immer die Webcam abkleben. Beim Bundesministerium für Familie, Senioen, Frauen und Jugend kann man kostenlos die Webcamsticker-Karte TOP SECRET bestellen.

14.11.2020 10:26

Corona-Tote sterben in Intensivbetten. Das letzte "Piep" der Beatmungsmaschine gibt keine spannenden Medienbilder.

Peter Jakobs zu der Frage, warum Menschen die Corona-Toten nicht wahrhaben wollen, obwohl derzeit allein in Deutschland jeden Tag so viele Menschen daran sterben wie durchschnittlich bei einem Flugzeugabsturz ums Leben kommen.

von Atari-Frosch am 11.11.2020 10:52

Mit den deutlich ansteigenden Corona-Fallzahlen und dem verkündeten zweiten partiellen Lockdown rückte das Thema der Covid 19-Pandemie wieder ins Zentrum der Debatten des Bundestages. Die AfD hat sich für eine Rolle zwischen Leugnung und Verharmlosung entschieden, was ihre Position in der gegenwärtigen Entwicklung noch einmal schwieriger macht. Zumal die von ihr in Deutschland kritisierten Maßnahmen […]

von invia1200 am 04.11.2020 10:30

Anoxinon e.V. fragt in einer Umfrage bis zum 01.12.2020 nach 3 FOSS-Projekten, die unterstützt werden sollen. Danach wird es einen Spendenaufruf geben und das Projekt mit den meisten Stimmen erhält die Spenden + 500€ von Anoxinon.

Ich finde das eine tolle Idee und habe für folgende Projekte gestimmt:

• Profanity
• Snikket
• Neomutt

Welchen Projekten habt ihr eure Stimme gegeben?

31.10.2020 19:01

Dieses Tutorial erklärt, wie der Let’s Encrypt Client (LE-Client) acme.sh mit dem Plugin dns_nsupdate auf einem Linux-System installiert und zur Nutzung der „DNS-01 challenge“ im DNS-Alias-Modus konfiguriert werden kann.

Um dem Tutorial folgen zu können, sollte man den grundlegenden Umgang mit einem Terminal und einer weitgehend POSIX-kompatiblen Shell beherrschen. Grundlegende Kenntnisse der Funktion von DNS und Resource Records sind hilfreich, jedoch nicht erforderlich und können im Zweifel unter den verlinkten Seiten erworben werden.

In diesem Tutorial werden nicht die Vor- und Nachteile der „DNS-01 challenge“ diskutiert. Diese können unter vorstehendem Link nachgelesen werden.

Die Begriffe SSL-Zertifikat, TLS-Zertifikat oder nur Zertifikat werden in diesem Tutorial synonym verwendet. Der zum Zertifikat gehörende Schlüssel wird als Private-Key bezeichnet.

Umfeld

Im Folgenden werden die Begriffe Subdomain und Zone synonym verwendet. Es sei darauf hingewiesen, dass diese Begriffe in einem anderen Kontext eine unterschiedliche Bedeutung haben können.

Als Beispiel-Domain wird example.org mit den beiden Subdomains foo.example.org und bar.example.org verwendet. Um dem acme.sh-Client keinen direkten Zugriff auf diese DNS-Zonen geben zu müssen, hat der DNS-Anbieter die DNS-Zone acme.foo.example.org definiert, welche für den Zweck der DNS-Challenge verwendet wird.

Der Nameserver für alle in diesem Tutorial verwendeten Domains lautet ns.example.org.

Vom DNS-Anbieter wird ein sogenannter TSIG-Schlüssel bereitgestellt, welcher berechtigt ist TXT-Ressource-Records in der oben genannten DNS-Zone acme.foo.example.org anlegen zu können. In diesem Tutorial werden folgender Name und Wert für einen TSIG-Schlüssel angenommen:

• TSIG-NAME: acme-key
• TSIG-WERT: SuperGeheim1111elf==
• TSIG-Algorithmus: hmac-sha512

Das Ziel soll nun sein, ein Zertifikat ausgestellt zu bekommen, welches für die beiden folgenden Hostnamen gültig ist:

• host.foo.example.org
• mein-schoener-host.bar.example.org

In diesem Tutorial wird als Webserver Apache in der Distribution RHEL 7 verwendet. Die entsprechende Service-Unit lautet demnach httpd.service. Wird ein anderer Webserver oder eine andere Distribution verwendet, ist der Name der Service-Unit entsprechend anzupassen (z.B. nginx.service).

Sinn und Zweck des DNS-Alias-Modus

Der DNS-Alias-Modus kann verwendet werden, wenn man einem Programm wie dem acme.sh-Client keinen direkten API-Zugriff auf die DNS-Zonen der eigenen Domain geben möchte. In diesem Abschnitt werde ich beispielhaft erklären, warum eine Nutzung dieses Modus angeraten erscheint.

Bevor Let’s Encrypt ein Zertifikat ausstellt, muss der anfragende Client beweisen, dass er die administrative Kontrolle über die Domain hat. Im Falle der DNS-Challenge geschieht dies indem ein TXT-Record in der jeweiligen DNS-Zone erstellt wird. Der LE-Client benötigt somit Zugriff mit Schreibberechtigung auf die entsprechenden DNS-Zonen. Dies kann jedoch verheerende Folgen haben, wenn der Host mit dem LE-Client kompromittiert wird. Ein Angreifer könnte hierdurch API-Zugang erlangen und die Informationen einer (oder mehrere) DNS-Zonen löschen. Oder noch schlimmer, die Einträge manipulieren bzw. eigene Einträge hinzufügen.

In unserer Organisation hat daher nur autorisiertes Personal mit personalisierten Zugangsdaten Zugriff auf ausgewählte Zonen.

Eine wichtige Eigenschaft von personalisierten Zugangsdaten ist, dass diese nur von der Person verwendet werden, an die sie ausgehändigt wurden. Diese sollten tunlichst nicht in einen LE-Client eingetragen werden, den man anschließend für Monate oder Jahre sich selbst überlässt.

Der DNS-Alias-Modus funktioniert so, dass der DNS-Anbieter eine Zone einrichtet, in der dynamische Updates durch LE-Clients gestattet sind. Die Authentifizierung und Autorisierung kann mittels sogenannter TSIG-Schlüssel durchgeführt werden.

Als Sysadmin erstellt man nun einen CNAME-Eintrag in der eigentlichen DNS-Zone, z.B. foo.example.org welcher auf die Zone acme.foo.example.org zeigt. Der LE-Client legt während der DNS-Alias-Challenge eine TXT-Record in der Zone acme.foo.example.org an. Let’s Encrypt kann nun über den CNAME den erstellten TXT-Record validieren. Anschließend wird das Zertifikat an den LE-Client ausgestellt.

Wird der LE-Client kompromittiert, sind damit zwar auch die auf ihm gespeicherten Private-Keys kompromittiert (was schon schlimm genug ist), es kann jedoch darüber hinaus nur die sogenannte DNS-Alias-Zone manipuliert werden. Eine Manipulation der eigentlichen Zone bleibt ausgeschlossen.

Installation des acme.sh-Clients

Um ein neu ausgestelltes bzw. erneuertes Zertifikat und den dazugehörigen Private-Key in einem Webserver zu verwenden, muss die Webserver-Konfiguration neu geladen werden. Dazu sind meist Root/sudoer-Rechte erforderlich. In diesem Tutorial wird der acme.sh-Client unter einem User mit sudo-Berechtigung installiert.

Zur Installation führt man folgende Kommandos aus (Quelle):

git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install

Durch die Installationsroutine werden folgende drei Aktionen durchgeführt:

1. Erstellen und Kopieren von acme.sh in das HOME-Verzeichnis ($HOME): ~/.acme.sh/. Unterhalb dieses Verzeichnisses werden die ausgestellten Zertifikate abgelegt.
2. Erstellen eines Alias für: acme.sh=~/.acme.sh/acme.sh.
3. Erstellen eines täglichen cron job, welcher die Restlaufzeit der Zertifikate prüft und diese ggf. verlängert.

Beispiel eines Cron-Jobs:

1 0 * * * "/home/alice/.acme.sh"/acme.sh --cron --home "/home/alice/.acme.sh" > /dev/null

Nach der Installation meldet man sich am besten einmal neu an, damit der Alias für acme.sh genutzt werden kann.

Anlegen der CNAME-Records

Nun legen wir die CNAME-Records an, welche für den DNS-Alias-Mode benötigt werden (Quelle).

_acme-challenge.host.foo.example.org IN CNAME acme.foo.example.org
_acme-challenge.mein-schoener-host.bar.example.org IN CNAME acme.foo.example.org

Der vom DNS-Anbieter bereitgestellte TSIG-Schlüssel ist ausschließlich zum Erstellen von Records in der Zone acme.foo.example.org berechtigt. Mit dem CNAME-Record weisen wir quasi nach, dass wir die Kontrolle über die DNS-Zone haben und dort Ressource-Records erstellen dürfen, während der acme.sh-Client nur berechtigt ist Einträge in jenen Zonen zu erstellen, auf welche die CNAME-Records verweisen.

Dies geschieht aus Sicherheitsaspekten. Auf diese Art und Weise wird verhindert, dass ein kompromittierter Host mit acme.sh-Client die wichtigen Zonen überschreiben kann.

Beantragung, Ausstellen und Installation eines Zertifikats

Die Überschrift deutet bereits an, dass der folgende Prozess aus drei Schritten besteht. Ich beginne mit einem optionalen Schritt, in dem ich die notwendige Konfiguration für einen sudo-User erkläre.

Optional: Konfiguration für non-root-User

Wer den acme.sh-Client unter dem User root installiert hat, kann diesen Abschnitt überspringen. An dieser Stelle wird die Konfiguration eines sudo-Users beschrieben.

Verwendet wird dabei ein Useraccount, der bereits über sudo-Berechtigungen verfügt, sich bei der Verwendung von sudo jedoch mit einem Passwort authentisieren muss. Im Folgenden nennen wir diesen Useraccount Alice.

Anpassung der sudoers-Datei

Da für die Installation des Let’s Encrypt Zertifikats in einem Webserver ein Reload der Konfiguration des Webservers erforderlich ist und dies später automatisch (ohne Passworteingabe) geschehen soll, ist eine Anpassung der sudoers-Datei von Alice erforderlich.

Die sudoers-Datei von Alice (/etc/sudoers.d/alice) sieht zu Beginn wie folgt aus:

alice  ALL=(ALL) ALL

Um Alice nun das Recht zu geben, die Webserver-Konfiguration ohne Passworteingabe neu zu laden, wird folgende Zeile hinzugefügt. Dabei ist die Reihenfolge der Zeilen zu beachten (siehe sudoers(5)). Die Bearbeitung der Datei wird mit dem Kommando sudo visudo -f /etc/sudoers.d/alice durchgeführt.

alice  ALL=(ALL) ALL
alice  ALL=(ALL) NOPASSWD: /bin/systemctl reload httpd.service

Verzeichnis für TLS-Zertifikate und Private-Keys erstellen

Zur weiteren Nutzung durch den Webserver, sollen die Zertifikate und Private-Keys in einem Verzeichnis gespeichert werden, auf das Alice Schreibrechte hat. Der Verzeichnisname kann dabei abweichend vom folgenden Beispiel frei gewählt werden. Im Beispiel wird die Gruppe apache verwendet. Diese ist ggf. an das eigene System anzupassen:

sudo mkdir -m 750 /etc/letsencrypt
sudo chown alice.apache /etc/letsencrypt

Die folgenden Schritte sind für root und alice gleich. Nur muss alice einige Befehle halt mit sudo auführen. Diese sind entsprechend gekennzeichnet. root lässt ein führendes sudo einfach weg.

Zertifikat beantragen und austellen

Wie eingangs erwähnt, wird ein TSIG-Schlüssel und das Plugin dns_nsupdate genutzt, um dynamische Zonen-Updates auf dem Nameserver durchzuführen. Um den acme.sh-Client entsprechend zu konfigurieren, wird zuerst eine Key-Datei erstellt, welche den TSIG-Schlüssel in JSON-Notation enthält (vgl. Abschnitt Umfeld).

Wichtig: Der TSIG-Schlüssel erlaubt dynamische Zonen-Updates im DNS. Er ist geheim zu halten und bestmöglich zu schützen.

Der Name der Datei ist dabei frei wählbar. Ich empfehle die Datei im HOME-Verzeichnis des Users abzulegen, welcher den acme.sh-Client ausführt und die Datei nur für diesen User lesbar zu machen (chmod 0400 DATEINAME). Beispiel:

cat ~/.nsupdate.key
key "acme-key" {
  algorithm hmac-sha512;
  secret "SuperGeheim1111elf==";
};

chmod 0400 ~/.nsupdate.key

Als nächstes werden notwendige Informationen über den Nameserver und unseren TSIG-Key verfügbar gemacht. Die folgenden Kommandos sind einmalig auszuführen. Die Werte werden vom acme.sh-Client später automatisch in ~/.acme.sh/account.conf gespeichert (Quelle).

export NSUPDATE_SERVER="ns.example.org"
export NSUPDATE_KEY="/home/alice/.nsupdate.key"

Nun ist es endlich soweit, dass ein Zertifikat ausgestellt werden kann. Für die in diesem Tutorial verwendeten Werte lautet der Befehl dazu wie folgt:

acme.sh --issue --dns dns_nsupdate -d host.foo.example.org -d mein-schoener-host.bar.example.org --challenge-alias acme.foo.example.org

Der folgende Code-Block zeigt ein konkretes Beispiel unter Verwendung der Staging-Umgebung.

acme.sh --issue --staging --dns dns_nsupdate -d host.foo.example.org -d mein-schoener-host.bar.example.org --challenge-alias acme.foo.example.org

[Fr 4. Sep 09:52:41 CEST 2020] Using ACME_DIRECTORY: https://acme-staging-v02.api.letsencrypt.org/directory
[Fr 4. Sep 09:52:42 CEST 2020] Using CA: https://acme-staging-v02.api.letsencrypt.org/directory
[Fr 4. Sep 09:52:42 CEST 2020] Create account key ok.
[Fr 4. Sep 09:52:42 CEST 2020] Registering account: https://acme-staging-v02.api.letsencrypt.org/directory
[Fr 4. Sep 09:52:43 CEST 2020] Registered
[...]
[Fr 4. Sep 09:52:43 CEST 2020] Creating domain key
[Fr 4. Sep 09:52:44 CEST 2020] The domain key is here: /home/alice/.acme.sh/host.foo.example.org/host.foo.example.org
.key
[Fr 4. Sep 09:52:44 CEST 2020] Multi domain='DNS:host.foo.example.org,DNS:mein-schoener-host.bar.example.org'
[Fr 4. Sep 09:52:44 CEST 2020] Getting domain auth token for each domain
[Fr 4. Sep 09:52:46 CEST 2020] Getting webroot for domain='host.foo.example.org'
[Fr 4. Sep 09:52:46 CEST 2020] Getting webroot for domain='mein-schoener-host.bar.example.org'                                             
[Fr 4. Sep 09:52:46 CEST 2020] Adding txt value: 2tG2NCvV23KGUNCSGeVO3P_UVaOVAG4t0ehbv1cJbtY for domain:  _acme-challenge.acme.foo.example.org
[Fr 4. Sep 09:52:46 CEST 2020] adding _acme-challenge.acme.foo.example.org. 60 in txt "2tG2NCvV23KGUNCSGeVO3P_UVaOVAG4t0ehbv1cJbtY"
[Fr 4. Sep 09:52:46 CEST 2020] The txt record is added: Success.
[Fr 4. Sep 09:52:46 CEST 2020] Adding txt value: yFbL8EF6xQre3v3RfYiCYQ8X4KH0gykagD9_oRfIvgA for domain:  _acme-challenge.acme.foo.example.org
[Fr 4. Sep 09:52:46 CEST 2020] adding _acme-challenge.acme.foo.example.org. 60 in txt "yFbL8EF6xQre3v3RfYiCYQ8X4KH0gykagD9_oRfIvgA"
[Fr 4. Sep 09:52:46 CEST 2020] The txt record is added: Success.
[Fr 4. Sep 09:52:46 CEST 2020] Let's check each DNS record now. Sleep 20 seconds first.
[Fr 4. Sep 09:53:07 CEST 2020] Checking host.foo.example.org for _acme-challenge.acme.foo.example.org                       
[Fr 4. Sep 09:53:07 CEST 2020] Not valid yet, let's wait 10 seconds and check next one.
[Fr 4. Sep 09:53:20 CEST 2020] Checking mein-schoener-host.bar.example.org for _acme-challenge.acme.foo.example.org
[Fr 4. Sep 09:53:21 CEST 2020] Domain mein-schoener-host.bar.example.org '_acme-challenge.acme.foo.example.org' success.
[Fr 4. Sep 09:53:21 CEST 2020] Let's wait 10 seconds and check again.
[Fr 4. Sep 09:53:32 CEST 2020] Checking host.foo.example.org for _acme-challenge.acme.foo.example.org
[Fr 4. Sep 09:53:32 CEST 2020] Domain host.foo.example.org '_acme-challenge.acme.foo.example.org' success.
[Fr 4. Sep 09:53:32 CEST 2020] Checking mein-schoener-host.bar.example.org for _acme-challenge.acme.foo.example.org
[Fr 4. Sep 09:53:32 CEST 2020] Already success, continue next one.                                                                          
[Fr 4. Sep 09:53:32 CEST 2020] All success, let's return
[Fr 4. Sep 09:53:32 CEST 2020] Verifying: host.foo.example.org
[Fr 4. Sep 09:53:35 CEST 2020] Pending
[Fr 4. Sep 09:53:38 CEST 2020] Success
[Fr 4. Sep 09:53:38 CEST 2020] Verifying: mein-schoener-host.bar.example.org                                                               
[Fr 4. Sep 09:53:41 CEST 2020] Success
[Fr 4. Sep 09:53:41 CEST 2020] Removing DNS records.
[...]
[Fr 4. Sep 09:53:41 CEST 2020] Removed: Success
[Fr 4. Sep 09:53:41 CEST 2020] Verify finished, start to sign.
[Fr 4. Sep 09:53:41 CEST 2020] Lets finalize the order.
[Fr 4. Sep 09:53:41 CEST 2020] Le_OrderFinalize='https://acme-staging-v02.api.letsencrypt.org/acme/finalize/15482274/142528495'
[Fr 4. Sep 09:53:42 CEST 2020] Downloading cert.
[Fr 4. Sep 09:53:42 CEST 2020] Le_LinkCert='https://acme-staging-v02.api.letsencrypt.org/acme/cert/fa6e5a9922acccb49619cc8808f6f0916dc0'
[Fr 4. Sep 09:53:43 CEST 2020] Cert success.
[...]
[Fr 4. Sep 09:53:43 CEST 2020] Your cert is in  /home/alice/.acme.sh/host.foo.example.org/host.foo.example.org.cer
[Fr 4. Sep 09:53:43 CEST 2020] Your cert key is in  /home/alice/.acme.sh/host.foo.example.org/host.foo.example.org.key
[Fr 4. Sep 09:53:43 CEST 2020] The intermediate CA cert is in /home/alice/.acme.sh/host.foo.example.org/ca.cer
[Fr 4. Sep 09:53:43 CEST 2020] And the full chain certs is there:  /home/alice/.acme.sh/host.foo.example.org/fullchain.cer

Damit liegen alle benötigten Dateien auf unserem Host. Im nächsten Schritt werden diese in die korrekte Lokation installiert.

Installation der Zertifikate für Apache

Das folgende Beispiel gilt für den Webserver Apache und ist der Dokumentation des acme.sh-Clients entnommen. Auf der verlinkten Seite findet sich ein weiteres Beispiel für den Webserver NGINX.

Das Kommando im folgenden Beispiel enthält am Ende den Parameter --reloadcmd "sudo systemctl reload httpd.service. Das sudo ist notwendig, wenn man einen User mit sudo-Berechtigungen wie z.B. Alice nutzt (siehe oben). Als root lässt man sudo einfach weg. Ggf. muss der Name der Service-Unit an das eigene System angepasst werden.

acme.sh --install-cert -d host.foo.example.org --cert-file /etc/letsencrypt/host.foo.example.org.cer --key-file /etc/letsencrypt/host.foo.example.org.key --fullchain-file /etc/letsencrypt/host.foo.example.org.fullchain.cer --reloadcmd "sudo systemctl reload httpd.service"

Hat alles funktioniert, erzeugt obiger Befehl folgende Ausgabe:

[Fr 4. Sep 12:36:22 CEST 2020] Installing cert to:/etc/letsencrypt/host.foo.example.org.cer
[Fr 4. Sep 12:36:22 CEST 2020] Installing key to:/etc/letsencrypt/host.foo.example.org.key
[Fr 4. Sep 12:36:22 CEST 2020] Installing full chain to:/etc/letsencrypt/host.foo.example.org.fullchain.cer
[Fr 4. Sep 12:36:22 CEST 2020] Run reload cmd: sudo systemctl reload httpd.service
[Fr 4. Sep 12:36:22 CEST 2020] Reload success

Hinweis: Der Webserver bzw. VirtualHost des Webservers muss so konfiguriert werden, dass die Zertifikate aus dem entsprechenden Pfad auch verwendet werden. Diese Konfiguration ist nicht Gegenstand dieses Tutorials. Es wird hierzu auf die Dokumentation des genutzten Webservers verwiesen.

Die Dateiberechtigungen für oben installierte Dateien sind nach der Installation einmalig zu korrigieren und ggf. mit chown und chmod so zu konfigurieren, dass nur Alice und der Webserver-User Zugriff darauf haben. Wichtig: Der Private-Key darf unter keinen Umständen von allen Usern gelesen werden dürfen. Folgender Code-Block zeigt eine mögliche Berechtigung:

ls -l /etc/letsencrypt/
total 12
-rw-r-----. 1 alice apache 1964  4. Sep 15:09 host.foo.example.org.cer
-rw-r-----. 1 alice apache 3644  4. Sep 15:09 host.foo.example.org.fullchain.cer
-rw-r-----. 1 alice apache 1679  4. Sep 15:09 host.foo.example.org.key

Die Dateiberechtigungen bleiben bei einer Erneuerung des Zertifikats und beim Überschreiben der existierenden Dateien erhalten.

Die vorgenommenen Einstellungen und Befehle werden in der Datei ~/.acme.sh/account.conf gespeichert. In der Standard-Einstellung wird das Zertifikat automatisch alle 60 Tage erneuert, in den angegebenen Pfaden installiert und ein Neustart des Webservers durchgeführt.

Weiterführende Quellen und Links

1. A Technical Deep Dive: Securing the Automation of ACME DNS Challenge Validation: https://www.eff.org/deeplinks/2018/02/technical-deep-dive-securing-automation-acme-dns-challenge-validation
2. How-to install acme.sh: https://github.com/acmesh-official/acme.sh/wiki/How-to-install
3. Install from Git: https://github.com/acmesh-official/acme.sh#2-or-install-from-git
4. Set up Let’s Encrypt certificate using acme.sh as non-root user: https://gist.github.com/Greelan/28a46a33140b65c9a045573ca460f044

von Jörg Kastning am 26.10.2020 05:00

Gestern erst motzte mich der Server wegen Jitsi-Meet und Let's Encrypt an, heute gab es schon wieder Ärger. Diesmal betraf es MariaDB, ein doch recht wichtiges Stück Software auf diesem Host.

Ich lasse früh morgens automatisch das Programm cron-apt laufen, damit ich mich um Standard-Update-Kram nicht mehr kümmern muß. Das schickt mir dann eine Mail mit dem Ablauf. Darin stand heute unter anderem das hier:

Also lief seit ca. 4:21 Uhr der Datenbank-Server nicht mehr, und damit waren auch die Blogs, das Hardware-Wiki, der URL-Kürzer und weitere Dienste totgelegt.

Ich versuchte dann erstmal einfach einen Neustart, und der MariaDB-Server kam auch wieder hoch, als wäre nichts gewesen. Allerdings scheint das nur so: Ich startete apt upgrade nochmal manuell und bekam dieselbe Meldung wieder.

Das teilte ich im Devuan-Support-Channel im IRC-Netzwerk Freenode mit, wo ich ein paar hilfreiche Hinweise bekam. Ich wurde aufgefordert, mal nachzusehen, was in Sachen MariaDB alles installiert ist, und das Ergebnis war … sagen wir, interessant:

Da gab es also noch Überreste von früheren Debian-Versionen, die längst verschwunden sein sollten. Und die Stretch-Version des Servers lief sogar gerade noch aktiv, ohne Alternative.

Mir wurde zunächst dazu geraten, alles, was explizit Debian ist, mit apt-get purge zu entsorgen. Mit den Clients war das auch kein Problem. Den Server wollte ich nicht purgen, denn die Konfiguration war ja soweit OK. Das Paket libmariadb3:amd64 wiederum wollte ich nicht wegputzen, weil damit gleich ein paar Teile von Jitsi-Meet mit deinstalliert worden wären. Den muß ich zwar vermutlich sowieso nochmal ganz neu installieren, weil seit der gestrigen Aktion zwar das Zertifikats-Update läuft, dafür aber Jitsi-Meet selbst nur noch die Startseite zeigt (mittlerweile habe ich die beiden Java-Prozesse jitsi-videobridge2 und jicofo gestoppt, weil die mir täglich megabyte-weise Fehlermeldungen in ihre Logs geknallt haben), aber bitteschön eins nach dem anderen.

Der Hinweis, ich solle die /etc/apt/sources.list überprüfen, ging allerdings fehl: Ich hatte das Cross-Date ja im Mai gemacht und dabei alle direkten Debian-Sourcen erst auskommentiert und dann ganz rausgeworfen, auch die separaten Quellen für MariaDB; dessen Pakete stehen nämlich im Gegensatz zu Devuan bei Debian gar nicht in den Sourcen. Ich vermute eher, daß apt im Mai zunächst feststellte, daß die Version aus der neuen Quelle mit der laufenden identisch ist, und deshalb erstmal nichts veränderte. Somit lief die Version aus Stretch einfach weiter – bis zum heutigen Update.

Warum allerdings auch noch 10.0er-Versionen von Client und Server vorhanden und von apt autoremove nicht weggeputzt worden waren, muß ich wohl nicht verstehen. Da kann ich nur vermuten, daß die Maintainer da was nicht sauber konfiguriert hatten, denn die Jessie-Versionen hätten spätestens mit dem Upgrade auf Stretch verschwinden müssen.

Aber auch danach lieferte ein Update-Versuch noch denselben Fehler.

Nun gut. Es läuft ja jede Nacht ein Backup über alle Datenbanken, deshalb habe ich dann mal den MariaDB-Server gestoppt, deinstalliert und wieder neu installiert – in /var/cache/apt/packages lagen ja bereits die richtigen Versionen; die älteren waren interessanterweise gar nicht mehr vorhanden.

Die Installationsliste sieht jetzt auch viel schöner aus:

Und der Server läuft wieder. Die nächsten Updates sollten jetzt ohne Versionszusammenstöße ablaufen. Also, eigentlich. Denn im Support-Channel kam noch eine interessante Bemerkung:

Das könnte also nochmal Spaß geben …

von Atari-Frosch am 22.10.2020 14:29

Besucht man heute eine durchschnittliche Website, so werden unzählige Skripte und Tracker nachgeladen. Dadurch können die Webseitenbetreiber, Google, Facebook, usw. Daten über mich sammeln und meinen Streifzug durch die Weiten des Internets verfolgen. Zum Glück muss man sich diesem Treiben nicht ergeben und es gibt viele sinnvolle Erweiterungen z.B. für den Browser (uBlock Origin, uMatrix, etc.). Diese Lösungen haben den Nachteil, dass ich sie auf jedem Gerät und für jeden Browser einzeln installieren muss. Deshalb möchte ich heute vorstellen, wie man Werbung und unerwünschte Inhalte mit pfSense und pfBlockerNG netzwerkweit filtern kann. Das ist z.B. sinnvoll in einem Heim- oder Schulnetzwerk.

pfBlockerNG installieren

Zuerst loggen wir uns in pfSense ein und öffnen den Package Manager. Dort wählen wir pfBlockerNG-devel unter „Available Packages“ aus:

Mit „Install“ können wir das Paket installieren. PfSense lädt nun das pfBlockerNG Paket herunter und fügt es der Firewall hinzu.

pfBlockerNG Ersteinrichtung

Als nächsten werden wir pfBlockerNG konfigurieren. Dazu gehen wir zu Firewall  → pfBlockerNG.

Es begrüßt und ein Assistent, der uns bei der Einrichtung von pfBlockerNG helfen wird. Mit „Next“ geht es weiter.

Auf der nächsten Seite wird erklärt, welche Dinge nun eingerichtet werden:

• Es wird ein Standard-Setup für Anfänger mit pfBlockerNG eingerichtet.
• Falls man vorher schon einmal pfBlockerNG installiert hatte, werden alle Einstellungen gelöscht.
• Zwei Komponenten werden installiert:
  • IP: Firewall-Regeln für die WAN-Schnittstelle, um die schlimmsten bekannten Angreifer zu sperren.
  • DNSBL: Werbung und andere bekannte bösartige Domains werden geblockt.

Mit „Next“ geht es wieder weiter.

Im nächsten Schritt müssen wir die eingehende Schnittstelle (WAN) und ausgehende Schnittstelle (LAN) auswählen. Wenn man mehrere interne Schnittstellen hat, kann man alle diejenigen auswählen für die man pfBlockerNG einrichten will. Möchte man z.B. das Gäste-WLAN filtern, aber nicht das WLAN für die Lehrkräfte, kann man hier die entsprechenden Schnittstellen aus bzw. abwählen.

Als nächstes müssen wir eine sogenannte VIP-Adresse festlegen. Auf dieser läuft der Webserver von pfBlockerNG und sollte unter keinen Umständen eine IP aus einem verwendeten Netzwerk sein! Wenn das LAN-Netz z.B. 192.168.1.1/24 ist, sollte die VIP-Adresse nicht in diesem Bereich liegen. Hier in unserem Beispiel lassen wir die Adresse bei 10.10.10.1. Die Ports muss man i.d.R. nicht ändern.

Das Setup ist nun fertig und wir können den Assistenten mit einem Klick auf „Finish“ beenden.

Danach öffnet sich die pfBlockerNG Updateseite und es werden automatisch alle aktivierten Blocklisten heruntergeladen und aktiviert.

pfBlockerNG einrichten

Wir haben nun ein fertig eingerichtetes pfBlockerNG Setup, dass unerwünschte Werbung und bösartige Domains und Webseiten blockiert. pfBlockerNG ist aber ein sehr mächtiges & flexibles Werkzeug. Deshalb möchte ich gern ein paar Einstellungen hervorheben.

Wichtig: Damit geänderte Einstellungen auch wirksam werden (egal, ob DNSBL oder IP), müssen wir unter Update → Reload → All → Run ausführen, damit die (geänderten) Listen heruntergeladen und aktiviert werden.

IP

Im IP Reiter, empfehle ich folgende Einstellungen:

• Floating Rules → Enable. Wenn man nur eine interne Schnittstelle hat, kann man es auch deaktiviert lassen. Bei vielen Schnittstellen (z.B. in einem Schulnetzwerk), macht es Sinn, diesen Punkt zu aktivieren, damit die Firewallregeln übersichtlicher bleiben.
• Kill States → Enable. Wenn pfBlockerNG die Blocklisten aktualisiert, werden alle aktiven Verbindungen zu IPs in den Listen zurückgesetzt.

GeoIP Blocking

Möchte man Zugriffe aus bestimmten Regionen der Erde verbieten, muss man sich zuallererst einen kostenloses Konto bei MaxMind erstellen. Daraufhin erhält man einen Lizenzschlüssel, den man unter IP → MaxMind GeoIP Configuration eintragen. Danach muss man einmal unter Update → Reload → IP die GeoIP Datenbanken herunterladen.

Nun können wir unter IP → GeoIP die gewünschten Kontinente oder Top-Spammer auswählen. Dazu klicken wir auf den kleinen Stift rechts und wählen dann in der Liste alle Einträge aus. Unten wählen wir noch „Deny Both“ (List Action).

Hinweis zu „Deny Inbound“ und „Deny Outbound“: „Deny Inbound“ bedeutet, dass die IPs für alle eingehenden Verbindungen geblockt werden. Wenn man z.B. einen Webserver betreibt und man möchte bestimmte Länder blocken, dann kann man das mit „Deny Inbound“ machen. „Deny Outbound“ gilt für alle ausgehenden Verbindungen, d.h. ich kann mich von einem Rechner im Netzwerk nicht zu dieser IP verbinden. Hier muss man aufpassen! Wenn ich z.B. alle IPs Nordamerikas mit „Deny outbound“ sperre, kann ich ab sofort keine Webseiten mehr erreichen, die auf diesem Kontinent gehostet sind!

DNSBL / Feeds

pfBlockerNG blockt neben IPs auch Domains. Es findet also keine Man-in-the-Middle-Attacke statt, um Inhalte zu filtern, sondern es wird einfach in eine lange Liste geschaut, ob eine Domain erlaubt ist oder nicht (funktioniert auch mit HTTPS). Unter Feeds können wir einstellen, welche Listen aktiv genutzt werden sollen. Es gibt dabei Feeds für IP Blocklisten, als auch für DNSBL, also Blocklisten für DNS / Domains.

Alle aktivierten Feeds haben einen Haken am Ende der Zeile. Wenn wir nun einen noch nicht aktiven Feed hinzufügen wollen, klicken wir einfach auf das „+“:

Es öffnet sich eine Seite auf der wir Details zu dem Feed einstellen können. Folgende Felder sind wichtig:

• State: ON
• Action: Unbound
• Update Frequency: Once a day

Manchmal möchte man einen Feed hinzufügen, der nicht in der Liste ist (z.B. einzelne Feeds von Steven Black). Dazu gehen wir zu DNSBL → DNSBL Groups und klicken unten auf „Add“:

Auf der nächsten Seite geben wir der DNSBL Gruppe einen Namen und fügen und DNSBL Source Definitions unseren Feed (oder mehrere) hinzu.

• Name: StevenBlack
• State: ON
• Source: https://raw.githubusercontent.com/StevenBlack/hosts/master/alternates/gambling/hosts
• Header / Label: Glückspiel
• Action: Unbound
• Update Frequency: Once a day

Mit „Save“ schließen wir den Vorgang ab.

Whitelists

Wenn eine Domain nicht geblockt werden soll, muss man sie unter DNSBL → DNSBL Whitelist in die Whiteliste aufnehmen. Wenn man einen Punkt („.“) vor den Domainnamen setzt, werden auch alle Subdomains freigeschaltet, sonst nur genau die (Sub)Domain, die man eingetragen hat.

SafeSearch

Unter DNSBL → DNSBL SafeSearch kann man SafeSearch für die bekanntesten Suchmaschinen einstellen. Weiterhin können wir auch noch DNS over HTTPS von Firefox blockieren sowie Beschränkungen für Youtube einstellen.

pfSense als DNS Server erzwingen

Damit auch alle Anfragen in unserem Netzwerk durch pfBlockerNG gefiltert werden, müssen wir verhindern, dass jemand im Netzwerk einen anderen DNS-Server als den DNS-Server von pfSense verwendet. Dazu erstellen wir 2 Regeln für die LAN-Schnittstelle (mehr Details hier):

Fazit

pfBlockerNG ist ein tolles Open Source Projekt. Es hilft Werbung, unerwünschte Inhalte und ganze Netzbereiche zu filtern. Egal ob IPs oder DNS-Blocklisten – mit pfBlockerNG kann man beides verwalten und so konfigurieren, wie man es für sein Netzwerk haben möchte. Es gibt aber auch Alternativen für pfBlockerNG, z.B. pi-hole, welches sich gut auf einem Raspberry Pi oder in einer VM bzw. Container installieren lässt. Unter Strich bleibt, dass ein werbefreies Netzwerk möglich ist!

Nutzt du pfBlockerNG oder pi-hole in deinem (Schul)Netzwerk?

Kommentar hinzufügen

Der Beitrag pfBlockerNG – Werbung und unerwünschte Inhalte filtern erschien zuerst auf .:zefanjas:..

von zefanja am 21.10.2020 14:13

Die aktuelle Verschärfung der Corona-Lage macht sich auch im Bundestag bemerkbar. Die Maskenpflicht in den Gebäuden und auch im Plenarsaal (außer am Platz und beim Reden) wird von der AfD als symbolpolitischer Kampf begriffen. Während befreundete oder von ihr goutierte Regierungsparteien in Ländern wie Österreich, Polen, Ungarn oder Großbritannien gleiche oder teils sehr viel weitergehende […]

von invia1200 am 14.10.2020 13:28

Seit vielen Jahren setzen wir stark auf Open Source Anwendungen in unserer Schule – auf dem Server, aber auch auf den Computern und Laptops. Vor allem im Serverbereich ist Open Source Software weit verbreitet und es gibt viele tolle Softwareprojekte, die sich wunderbar in einer Schule einsetzen lassen. Heute möchte ich deshalb meine 5 Favoriten vorstellen.

Koha

Koha ist ein integriertes Bibliothekssystem. Es wird weltweit in öffentlichen, Schul- und anderen Bibliotheken eingesetzt. Auch wir haben vor ca. 5 Jahren unsere Bibliothek auf diese Software umgestellt. Koha bringt sehr viele Features mit und ist flexibel in der Konfiguration. Der Einstieg ist, wenn man nicht gerade vom Fach ist, etwas steil, aber man wird dafür mit einem tollen System belohnt. Wer mehr über Koha und den Einsatz in Schulen erfahren möchte, sollte sich diese kleine Blog-Post Serie anschauen.

xcp-ng / LXD

Mein nächster Favorit betrifft die Serverinfrastruktur. Wer eigene Server in der Schule betreibt, muss sich mit der Frage beschäftigen, welchen Hypervisor er einsetzen will. Die Auswahl ist groß und man kann zwischen einigen Open Source Optionen wählen. Wir haben uns vor Jahren für xcp-ng entschieden (aus XenServer hervorgegangen). Dazu setzen wir XenOrchestra ein, um die Server zu verwalten. Mit xcp-ng verwalten wir unsere virtuellen Maschinen.

Die meisten unserer (Web)Anwendungen laufen aber in Linuxcontainern. Dafür verwenden wir LXD – ein Container-Hypervisor. LXD bringt mit lxc einen sehr einfach zu bedienende Anwendung mit, um Container zu erstellen, Backups zu erstellen, usw. Der große Vorteil von Linuxcontainern ist für mich, dass ich sie genauso wie eine virtuelle Maschine verwalten, konfigurieren und administrieren kann. Dafür sind sie wesentlich ressourcensparender als eine VM. Seit dem 4.0 Release kann man sogar „richtige“ VMs mit LXD erstellen und verwalten!

pfSense

Für mich ist pfSense eines der besten Open Source Firewall Systeme. PfSense kann man einfach installieren und benutzen und läuft seit Jahren sehr stabil in unserem Netzwerk. Mit pfBlockerNG hat man zusätzlich ein sehr mächtiges Werkzeug, um Werbung, Malwareseiten u.v.a. aus dem Netzwerk fernzuhalten (Webfilter auf DNS Basis).

linuxmuster.net

Über linuxmuster.net habe ich schon oft in diesem Blog geschrieben. Linuxmuster.net ist eine Open Source Schulserverlösung, mit der man Benutzer (Lehrkräfte, Schüler/innen) und Schulcomputer einfach verwalten kann. LINBO, ein Werkzeug von linuxmuster.net, ist für mich eines der wichtigsten Features, denn damit kann ich alle Schulcomputer mit nur einem Image verwalten, auch wenn sie unterschiedliche Konfigurationen haben.

Nextcloud

Nextcloud darf in dieser Liste nicht fehlen. Gerade in den letzten Monaten sind eine Menge neuer Features dazugekommen, die auch im Schulumfeld sehr nützlich sind. Nextcloud ist dabei weit mehr, als nur eine gemeinsame Dateiablage. Durch die vielen Erweiterungen kann man Nextcloud sehr an die individuellen Bedürfnisse anpassen. Egal ob Online Office Suite, Videokonferenz oder einfach nur ein gemeinsamer Kalender – vieles ist mit Nextcloud möglich.

Bonus: Zammad

Noch eine kleine Bonusempfehlung am Ende: Zammad. In den letzten Jahren haben wir verschiedene Service Desk / Helpdesk Anwendungen ausprobiert. Letztendlich sind wir bei Zammad gelandet und es gefällt uns sehr gut. Wie auch alle anderen Empfehlungen hier, bringt es viele nette Features mit. Es lässt sich gut in die bestehende Infrastruktur integrieren und man kann über viele verschiedene Kanäle Tickets erstellen (Soziale Netzwerke, eMail, Chat, …).

Fazit

Die Liste hier könnte man noch beliebig erweitern. Gerade für den Infrastrukturbereich gibt es eine große Menge an Open Source Anwendungen. Allein diese Liste spricht für sich: https://github.com/awesome-selfhosted/awesome-selfhosted. Moodle oder Mahara sollten eigentlich auch noch mit aufgenommen werden, aber damit haben wir bisher kaum Erfahrung sammeln können.

Welche Open Source Anwendungen gehören zu deinen Favoriten, die in keiner Schule fehlen sollten?

3 Kommentare

Der Beitrag Die 5 besten Open Source Anwendungen für eine Schule erschien zuerst auf .:zefanjas:..

von zefanja am 09.10.2020 00:39

Bastian Hohnke ist ein 19 Jahre alter Singer/Songwriter aus Kaarst. Er spielt Akustik Folk/Pop und singt seine eigenen Lieder.

The post Singer Songwriter Bastian Hohnke appeared first on .

von Stefan Fahl am 04.10.2020 15:24

Die 20-jährige Krefelderin Hanna Schwalbach spielt und singt seit 6 Jahren ihre eigenen Songs auf Englisch und Deutsch. Sie begleitet sich dabei auf der Gitarre. 2016 gewann sie damit den Krefelder Singer-Songwriter-Slam.

The post Singer Songwriter Hanna Schwalbach appeared first on .

von Stefan Fahl am 04.10.2020 15:10

Nach jeder Anmeldung bei openSUSE Tumbleweed nervt die Gnome Software-App damit, dass eine „Aktualisierung Fehlgeschlagen“ sei. Die Gnome Software-App versucht, eine Datei herunterzuladen:

Failed To Update 
 
Detailed errors from the package manager follow: 
 
Download (curl) error for 'http://download.opensuse.org/tumbleweed/repo/non-oss/repodata/repomd.xml': 
Error code: Connection failed 
Error message: Could not resolve host: download.opensuse.org

Angeblich kann der Hostname nicht aufgelöst werden, obwohl Internet und DNS funktionieren und die Webseite in der Fehlermeldung bei openSUSE auch erreichbar ist.

Die Lösung

Der Text befindet sich in der Datei /var/lib/PackageKit/offline-update-competed. Wenn man die Datei löscht, erscheint die Meldung nicht mehr:

sudo rm -rf /var/lib/PackageKit/offline-update-competed

von Christian Imhorst am 28.09.2020 16:10

Generics in PHP via PHPDocs

If you did not know that you can use Generics in PHP or you do not exactly know how to use it or why you should use it, then the next examples are for you.

Type variables via @template

The @template tag allows classes and functions to declare a generic type parameter. The next examples starts with simple functions, so that we understand how it works, and then we will see the power of this in classes.

A dummy function that will return the input.

⇾ https://phpstan.org/r/1922279b-9786-4523-939d-dddcfd4ebb86

    <?php    

    /**
     * @param \Exception $param
     * @return \Exception
     *
     * @template T of \Exception
     * @psalm-param T $param
     * @psalm-return T
     */
    function foo($param) { ... }

    foo(new \InvalidArgumentException()); // The static-analysis-tool knows that 
                                          // the type is still "\InvalidArgumentException" 
                                          // because of the type variable.

@template T of \Exception // here we create a new type variable, and we force that it must be an instance of \Exception

@phpstan-param T $param // here we say that the static-analysis-tool need to remember the type that this variable had before (you can use @psalm-* or @phpstan-* both works with both tools)

@phpstan-return T // and that the return type is the same as the input type 

A simple function that gets the first element of an array or a fallback. 

In the @param PHPDocs we write “mixed” because this function can handle different types. But this information is not very helpful if you want to understand programmatically what the code does, so we need to give the static-analysis-tools some more information. 

⇾ https://phpstan.org/r/1900a2af-f5c1-4942-939c-409928a5ac4a

    <?php
     
    /**
     * @param array<mixed> $array
     * @param mixed        $fallback <p>This fallback will be used, if the array is empty.</p>
     *
     * @return mixed|null
     *
     * @template TFirst
     * @template TFirstFallback
     * @psalm-param TFirst[] $array
     * @psalm-param TFirstFallback $fallback
     * @psalm-return TFirst|TFirstFallback
     */
    function array_first(array $array, $fallback)
    {
        $key_first = array_key_first($array);
        if ($key_first === null) {
            return $fallback;
        }

        return $array[$key_first];
    }

    array_first([1, 2, 3], null); 

    if ($a === 'foo') { // The static-analysis-tool knows that 
                        // === between int|null and 'foo' will always evaluate to false.
	    // ...
    }

@template TFirst // we again define your typed variables

@template TFirstFallback // and one more because we have two inputs where we want to keep track of the types

@psalm-param TFirst[] $array // here we define that $array is an array of TFirst types

@psalm-param TFirstFallback $fallback // and that $fallback is some other type that comes into this function

@psalm-return TFirst|TFirstFallback // now we define the return type as an element of  the $array or the $fallback type 

 Very basic Active Record + Generics

The IDE support for generics is currently not there, :-/ so that we still need some hacks (see @method) for e.g. PhpStorm to have autocompletion.

⇾ https://phpstan.org/r/f88f5cd4-1bb9-4a09-baae-069fddb10b12

https://github.com/voku/phpstorm_issue_53352/tree/master/src/Framework/ActiveRecord

<?php

class ActiveRow
{
    /**
     * @var ManagedFactory<static>
     */
    public $factory;

    /**
     * @param Factory<ActiveRow>|ManagedFactory<static> $factory
     * @param null|array                                $row
     */
    public function __construct(Factory $factory, array $row = null) {
        $this->factory = &$factory;
    }
}

/**
 * @template T
 */
abstract class Factory
{
    /**
     * @var string
     *
     * @internal
     *
     * @psalm-var class-string<T>
     */
    protected $classname;

    /**
     * @return static
     */
    public static function create() {
        return new static();
    }
}

/**
 * @template  T
 * @extends   Factory<T>
 */
class ManagedFactory extends Factory
{
    /**
     * @param string $classname
     *
     * @return void
     *
     * @psalm-param class-string<T> $classname
     */
    protected function setClass(string $classname): void
    {
        if (\class_exists($classname) === false) {
            /** @noinspection ThrowRawExceptionInspection */
            throw new Exception('TODO');
        }

        if (\is_subclass_of($classname, ActiveRow::class) === false) {
            /** @noinspection ThrowRawExceptionInspection */
            throw new Exception('TODO');
        }

        $this->classname = $classname;
    }

    // ...
}

final class Foo extends ActiveRow {

    public int $foo_id;

    public int $user_id;

    // --------------------------------------
    // add more logic here ...
    // --------------------------------------
}

/**
 * @method Foo[] fetchAll(...)
 *
 * @see Foo
 *
 * // warning -> do not edit this comment by hand, it's auto-generated and the @method phpdocs are for IDE support       
 * //         -> https://gist.github.com/voku/3aba12eb898dfa209a787c398a331f9c
 *
 * @extends ManagedFactory<Foo>
 */
final class FooFactory extends ManagedFactory
{
    // -----------------------------------------------
    // add sql stuff here ...
    // -----------------------------------------------
}

A more complex collection example.

In the end we can extend the “AbstractCollection” and the static-analysis-tools knows the types of all the methods. 

https://github.com/voku/Arrayy/tree/master/src/Type

/**
 * @template TKey of array-key
 * @template T
 * @template-extends \ArrayObject<TKey,T>
 * @template-implements \IteratorAggregate<TKey,T>
 * @template-implements \ArrayAccess<TKey|null,T>
 */
class Arrayy extends \ArrayObject implements \IteratorAggregate, \ArrayAccess, \Serializable, \JsonSerializable, \Countable
{ ... }

/**
 * @template TKey of array-key
 * @template T
 * @template-extends \IteratorAggregate<TKey,T>
 * @template-extends \ArrayAccess<TKey|null,T>
 */
interface CollectionInterface extends \IteratorAggregate, \ArrayAccess, \Serializable, \JsonSerializable, \Countable
{ ... }

/**
 * @template   TKey of array-key
 * @template   T
 * @extends    Arrayy<TKey,T>
 * @implements CollectionInterface<TKey,T>
 */
abstract class AbstractCollection extends Arrayy implements CollectionInterface
{ ... }

/**
 * @template TKey of array-key
 * @template T
 * @extends  AbstractCollection<TKey,T>
 */
class Collection extends AbstractCollection
{ ... }

Links:

⇾ https://phpstan.org/blog/generics-in-php-using-phpdocs

⇾ https://psalm.dev/docs/annotating_code/templated_annotations/

⇾ https://stitcher.io/blog/php-generics-and-why-we-need-them

von voku am 29.08.2020 00:34

Datenschutz, Datensicherheit und Privacy ist ein Themenspektrum, um das sich seit vielen Jahren zahlreiche Experten versammelt haben. Es gibt zahllose Podcasts, Blogs und Kolumnen. Da durchzublicken ist schwer aber nahezu alle lassen sich in drei Oberkategorien eingruppieren.

Das Informationsangebot zu dem Themenspektrum Datenschutz, Datensicherheit und Privacy ist riesig und wächst immer noch. Es gibt bestimmt ein Dutzend gut produzierter Podcasts, zahllose Blogs mit mehr oder weniger hoher Betragsfrequenz. Wie soll man sich in dieser Kakophonie der Meinungen orientieren und die brauchbaren Informationen filtern?

Hilfreich kann es sein die Informationsquelle einer von drei Oberkategorien zuzuordnen:

1. Juristischer Ansatz
2. Pädagogische Motivation
3. Aktivistische Autoren

Im folgenden möchte ich das an drei Beispielen exemplifizieren, wobei die Auswahl ziemlich zufällig ist und ich den jeweiligen Autor bzw. Blog nicht herausheben möchte. Für jede Kategorie gibt es dutzende weitere Beispiele.

1. Juristischer Ansatz

In meinen Wochenrückblicken beziehe ich regelmäßig die Informationen von Dr. Datenschutz mit ein. Die dortigen Informationen sind fundiert und ausgewogen, dienen aber letztlich der Dienstleistungswerbung für die hinter dem Angebot stehende intersoft consulting services AG. Aufgrund der Transparenz dieser Verbindung ist dies unproblematisch.

Die Artikel haben oft einen juristischen Ansatz (da Datenschutz im Grunde ja auch ein rechtliches Thema ist). Bei der Beurteilung von Cookie Bannern konzentriert man sich folglich auf die rechtliche Bewertung der zulässigen Maßnahmen und nicht ob Datenerhebung gut oder schlecht ist. Am Beispiel der Corona-Gästelisten übt man zwar auch Kritik, verweist aber auf die mutmaßliche rechtliche Zulässigkeit der Maßnahmen.

Der juristische Ansatz lässt sich oft auf die Aussage "Datenschutz bedeutet DSGVO-konform" reduzieren.

2. Pädagogische Motivation

Im Podcast der Datenwache gibt Mitch Symalla in mittlerweile 54 Folgen sinnvolle Tipps für mehr Sicherheit und Datenschutz im Alltag als Endverbraucher. Die Folgen sind nahezu zeitlos und wenn man mit den ersten Folgen einsteigt sieht man sehr deutlich den Ansatz. Mitch holt die Menschen genau da ab wo sie sind: Mit unsicheren Geräten und als Nutzer zahlloser problematischer Dienste. Im Grunde genommen braucht man für den Einstieg noch nichts gemacht haben außer ein bisschen Interesse für Privatsphäre zu haben.

Ohne erhobenen Zeigefinder betont er in den Folgen was gute erste Schritte sind und bei welchen Aspekten man noch weiter gehen könnte. Gerne mit der etwas lapidaren Aussage "musst du halt selbst entscheiden". Durch dieses "pädagogischen Ansatz" stellt er sich auf keinen Sockel und überfährt die Hörer nicht. Denn wenn man jemandem stattdessen ins Gesicht rufen würde "Du hast keine Ahnung" und "Alles was du machst ist doof und muss geändert werden" schmeißt dieser vermutlich eher alles hin, als auch nur einen sinnvollen Schritt zu gehen.

3. Aktivistische Autoren

Jegliche Datensammlung ist gefährlich und ohne Open Source kann kein Vertrauen möglich sein. Mit dieser impliziten Grundhaltung kann man viele Artikel von Mike Kuketz umschreiben. Damit steht er beispielhaft für eine Reihe aktivistischer Autoren, die zumindest unterschwellig einen grundlegenden Wechsel im gesellschaftliche Umgang mit IT und Daten anstreben und durch ihre Artikel einen Beitrag dazu leisten wollen. Das ist nicht falsch und Kuketz ist ein versierter Experte des Gebiets. Seine Analysen haben es schon mehrfach in die Mainstream-Presse geschafft und sind immer wieder lohnenswert zu lesen. 

Die Beiträge haben allerdings oft einen appellierenden Charakter und stellen Praxistauglichkeit im Zweifel hinten an. Nachzulesen z. B. beim Aufruf alle großen IT-Konzerne aus Bildungseinrichtungen zu verbannen. Alles proprietäre wird dabei gerne mal in einen Topf geworfen. So berechtigt seine Kritik an Online Bezahlmethoden beispielsweise ist, zwischen den Datenschutzniveaus von Angeboten wie Sofortüberweisung, PayPal und Apple Pay gibt es durchaus Unterschiede. Das wird nur vollkommen unbeachtet beiseite gewischt und stattdessen Vorkasse, Lastschrift, Rechnung, SEPA oder paydirect empfohlen. Diese sind zwar hinsichtlich des Datenschutzes spitze, nur werden sie selten angeboten. Schon gar nicht ohne Auskunfteienabfrage bei z. B. Rechnungs-Kauf. Dieser Einwand würde wohl begegnet werden mit: AGB's lesen und notfalls auf Alternativen ausweichen.

Sachlich und fachlich richtig aber hier hat man dann meistens alle Verbraucher jenseits eines Kerns aus Überzeugungstätern verloren. Um solche Informationsangebote schart sich dann meist eher eine Peergroup von "100%tigen", die weniger auf die Informationen angewiesen sind, als sie dort Selbstbestätigung finden. Man sollte die Informationen daher eher zur Kenntnis nehmen und sie nicht zur alleinigen Richtschnur des eigenen Handelns zu machen.

Zusammengefasst

Trifft man auf Informationen lohnt es sich diese bis dato unbekannte (aber natürlich seriös und korrekt wirkende) Informationsquelle in eine der drei Kategorien einordnen. Meistens weiß man dann schon woran man ist und wie man mit den Informationen umgehen muss. Ich persönlich finde den pädagogischen Ansatz sehr sympathisch und glaube, dass hierdurch am meisten für das gesamtgesellschaftliche Privacy-Bewusstsein getan werden kann. Insbesondere Aktivisten begegne ich mit Skepsis, da diese immer Gefahr laufen in ideologischen Dogmatismus zu verfallen und Schwarz/Weiß Zeichnung zu betreiben. Der juristische Ansatz sollte dabei nie außer Acht gelassen werden, denn nicht jeder moralisch fragwürdige Umgang mit Daten ist gleich illegal. Eine simple Wahrheit, die bei der Beschäftigung mit dem Themenkomplex gerne mal auf der Strecke bleibt.

Etwas bedauerlich ist das Fehlen eines Planeten/Aggregator für Privacy-Themen. Solche Planeten bieten die einzigartige Möglichkeit in einem Themenbereich konträre Meinungen abzubilden und verhindern allzu enge Filterblasen.

Bilder:
Einleitungs- und Beitragsbild von Gerd Altmann via pixabay

von Gerrit (postfach@curius.de) am 25.08.2020 09:06

Wieder einmal gibt es einen doppelten Rückblick für die Kalenderwochen 33 und 34. Die Bezeichnung "ausnahmsweise" entfällt aufgrund der Regelmäßigkeit dieser doppelten Rückblicke in letzter Zeit. Besserung ist leider nicht in Sicht. Dafür gibt es eine große thematische Spannbreite.

Open Source

Nextcloud hat endlich Ende-zu-Ende Verschlüsselung in seine Clients integriert. Das spielt vor allem beim immer zahlreicheren Einsatz von Dienstleistern eine Rolle.

• Golem - Verschlüsselte Dateien in der eigenen Cloud

Debian leidet schon länger an einer völligen Überregulierung bei sinkender Aktivität (siehe auch: Debian - Eine Kritik). In einigen Bereichen wird es langsam kritisch. KDE-Anwender merken das schon länger und mit dem offiziellen Abtritt der Qt-Betreuer dürfte sich diese Situation verschlechtern.

• linuxnews - Debians Qt-Betreuer treten zurück

Im Zuge der Corona-Krise dringen die Plattformen der großen Digitialkonzerne tiefer in das tägliche Leben vor. Einen großen Modernisierungsrückstau haben dabei Bildungseinrichtungen, die nun massiv auf fertige Lösungen wie Microsoft Teams setzen. Dagegen regt sich nun Widerstand. So sehr ich das nachvollziehen kann, so sehr fehlen mir aber brauchbare Open Source Lösungen. Ohne Alternativen ist das nämlich nur realitätsfernes Gemeckere, wodurch das Thema Datenschutz insgesamt diskreditiert.

• heise - Schule digital: (K)ein Platz für Microsoft

IT Konzerne

Google scheint gemäß neuesten Berichten Nutzerdaten im großen Stil an US-Behörden weiter zu geben.

• Golem - Google meldet Nutzerdaten unaufgefordert an Behörden

Apples restriktive Tracking-Einschränkungen lösen gegenwärtig Befürchtungen in der Werbebranche aus. Mal sehen, ob das im Herbst so kommt wie angekündigt.

• SPIEGEL - Apples iPhone-Update könnte Facebook das Geschäft vermiesen

DSGVO

Die omnipräsenten Cookiebanner sind ein schönes Beispiel für die Unterscheidung von "gut gemeint" und "gut gemacht". Der Gesetzgeber wollte die massenhafte Datenübertragung an Dritte und Zusammenführung mit anderen Datensätzen einschränken. Einen Ausweg bietet lediglich die freiwillige und informierte Einwilligung. Einen Weg den nun nahezu alle Seiten im Netz gehen. Die Banner sind dabei teilweise hochgradig manipulativ und versuchen den Nutzer in "die richtige Richtung" (aus Sicht des Anbieters) zu drängen. Im Endeffekt stumpfen die Anwender ab und nicken die Voreinstellungen einfach ab.

• Dr. Datenschutz - Webinar Cookiecalypse – Fragen und Antworten
• Golem - Datenschützer knöpfen sich gezielt Medien vor

Datenschützer versuchen die DSGVO als Hebel gegen die kommerziellen Anbieter von Gesichtserkennung zu nutzen.

• Golem - Datenschützer erhöht Druck auf US-Anbieter Clearview

Corona

Technik löst nicht alle Probleme. Eine Erkenntnis, die vor allem junge Menschen und Jünger des Silicon Valley noch lernen müssen. Jüngstes Beispiel sind die Probleme der Corona Tracing Methode im ÖPNV. Trotzdem sollte man solche Artikel nicht zum Vorwand nehmen um die App nicht zu nutzen. Vor allem wenn man aus beruflichen und privaten Gründen viel unterwegs ist und daher die Kontakteinschränkungen nur bedingt befolgen kann.

• t3n - Forscher: Corona-Warn-Apps funktionieren im ÖPNV nicht zuverlässig

Bilder:

Einleitungs- und Beitragsbild von Megan_Rexazin via pixabay

von Gerrit (postfach@curius.de) am 23.08.2020 06:00

❤️ Simple PHP Code Parser

It based on code from “JetBrains/phpstorm-stubs” but instead of Php-Reflection we now use nikic/PHP-Parser, BetterReflection, phpDocumentor and PHPStan/phpdoc-parser internally. So, you can get even more information about the code. For example, psalm- / phpstan-phpdoc annotations or inheritdoc from methods.

Install:

composer require voku/simple-php-code-parser

Link:

voku/Simple-PHP-Code-Parser

More:

• there is also a “.phar” version for e.g. phpdoc checks: voku/Simple-PHP-Code-Parser/releases
• and an API documentations helper for your README file, based on the simple php code parser: voku/Php-Readme-Helper

Example: get value from define in “\foo\bar” namespace

$code = '
  <?php
  namespace foo\bar;
  define("FOO_BAR", "Lall");
';

$phpCode = PhpCodeParser::getFromString($code);
$phpConstants = $phpCode->getConstants();

$phpConstants['\foo\bar\FOO_BAR']->value; // 'Lall'

Example: get information about @property phpdoc from a class

$code = '
  <?php
  /** 
   * @property int[] $foo 
   */
  abstract class Foo { }
';

$phpCode = PhpCodeParser::getFromString($code);
$phpClass = $phpCode->getClass('Foo');

$phpClass->properties['foo']->typeFromPhpDoc); // int

Example: get classes from a string (or from a class-name or from a file or from a directory)

$code = '
<?php
namespace voku\tests;
class SimpleClass {}
$obja = new class() {};
$objb = new class {};
class AnotherClass {}
';

$phpCode = \voku\SimplePhpParser\Parsers\PhpCodeParser::getFromString($code);
$phpClasses = $phpCode->getClasses();

var_dump($phpClasses['voku\tests\SimpleClass']); // "PHPClass"-object

von voku am 07.08.2020 00:10

%!s()

If you looked at the Nextcloud app store you could already find OpenID-Connect connectors before but since Nextcloud 19 it is an officially supported user back-end. So it was time for me to have a closer look at it and to try it out.

Get a OpenID Connect provider

First step was to get an OpenID-Connect provider, sure I could have chosen one of the public services. But why not have a small nice provider running directly on my machine? Keycloak makes this really simple. By following their Getting Started Guide I could setup a OpenID-Connect provider in just a few minutes and run it directly on my local demo machine. I will show you how I configured Keycloak as an OpenID-Connect provider for Nextcloud but please keep in mind, this is the first time I configured Keycloak and my main goal was to get it running quickly to test the Nextcloud connector. It is quite likely that I missed some important security setting which you would like to enable for a productive system.

After installing Keycloak we go to http://localhost:8080/auth/ which is the default URL in “standalone” mode and login as admin. The first thing we do is to configure a new Realm in the “Realm Settings”. Only “Name” and “Display name” need to be set, the rest can be kept as it is:

Next we move on to the “Clients” tab, and created a new client:

Set a random “Client ID”, I chose “nextcloud” in this example, and the root URL of your Nextcloud which is http://localhost/stable in this case. After that we get redirected to the client configuration page. Most settings are already set correctly. We only need to adjusted two more settings.

First we set the “Access Type” to “confidential”, this is needed in order to get a client secret which we need for the Nextcloud setup later on. While the “Valid Redirection URIs” work as it is with the wildcard, I used the one proposed by the Nextcloud OIDC app http://localhost/stable/index.php/apps/user_oidc/code. This is the Nextcloud end-point to which Keycloak will redirect the user back after a successful login.

Finally we create a user who should be able to login to Nextcloud later.

While technically the “Username” is enough I directly set E-Mail address, first- and second name. Nextcloud will reuse this information later to pre-fill the users profile nicely. Don’t forget to go to the “Credentials” tab and set a password for your new user.

That’s it, now we just need to grab a few information to complete the Nextcloud configuration later on.

First we go back to the “Realm Settings” of the “OIDCDemo”, under “OpenID Endpoint Configuration” we get a JSON document with all the parameter of our OpenID-Connect end-point. For Nextcloud we only need the “authorization_endpoint” which we find in the second line of the JSON file.

The second value is the client secret. We can find this in the credential tab of the “nextcloud” client settings:

Nextcloud setup

Before we continue, make sure to have this line in your config.php 'allow_local_remote_servers' => true,, otherwise Nextcloud will refuse to connect to Keycloak on localhost.

Now we can move on and configure Nextcloud. As mentioned before, the official OpenID-Connect app was released together with Nextcloud 19, so you need Nextcloud 19 or later. If you go to the Nextcloud apps management and search for “openid” you will not only find the official app but also the community apps. Make sure to chose the app called “OpenID Connect user backend”. Just to avoid misunderstandings at this point, the Nextcloud community does an awesome job! I’m sure the community apps work great too, they may even have more features compared to the new official app. But the goal of this article was to try out the officially supported OpenID-Connect app.

After installing the app we go to the admin settings where we will find a new menu entry called “OpenID Connect” on the left sidebar. The setup is quite simple but contains everything needed:

The app supports multiple OpenID Connect providers in parallel, so the first thing we do is to chose a “Identifier” which will be shown on the login page to let the user chose the right provider. For the other fields we enter the “Client ID”, “Client secret” and “Discovery endpoint” from Keycloak. After accepting the setting by clicking on “Register” we are done. Now let’s try to login with OpenID Connect:

As you can see, we have now an additional button called “Login with Keycloak”. Once clicked we get re-directed to Keycloak:

After we successfully logged-in to Keycloak we get directly re-directed back to Nextcloud and are logged-in. A look into our personal settings shows us that all our account detail like the full name and the email address where added correctly to our Nextcloud account:

von Björn Schießle (bjoern@schiessle.org) am 26.07.2020 06:00

Dann ist es heute soweit mit den ersten Arbeitsstunden für den Schwinmverein…

Mal schauen wie das wird

von Slater am 24.07.2020 14:54

Unterwegs ergibt es total Sinn, dass man sein Handy oder Tablet auf Empfang hat. Nun sitze ich seit Corona im Home-Office am Schreibtisch – bewege mich also nicht – und nutze trotzdem eine Technik, die für Bewegung im Freien gemacht ist. Natürlich kann ich mich zu Hause ins W-LAN einloggen, das reduziert die Strahlung für die Allgemeinheit und beschränkt den Funkradius auf das, was mein Router leistet. Aber geht es noch weniger?

Nach einiger Suche bin ich auf diesen Adapter gestoßen:

Netzwerkkabel auf USB-C Adapter

Gefunden, gekauft, ausprobiert, funktioniert großartig. Ich kann nun während des Arbeitens ein LAN-Kabel an mein Handy, das meistens auf meinem Schreibtisch liegt, anschließen und die mobilen Daten abschalten. Messenger, Browser, Aktualisierungen usw. funktionieren weiterhin tadellos und viel schneller. In diesem Video könnt ihr meinen Speedtest anschauen – das Internet ist jetzt nicht mehr abhängig vom Fumkturn, sondern von meinem privaten Anschluss (50 Mbit/s):

Außerdem merke ich, dass durch die Deaktivierung der Mobilen Daten (funktioniert automatisch beim Einstecken) mein Akku länger hält. Es scheint viel weniger Strom zu verbrauchen, wenn die Daten aus dem Kabel kommen, als wenn sie zum nächsten Funkturm oder per W-LAN zum Router gesendet werden.

Technisch gesehen ist es einfach ein Adapter von RJ45 (LAN) auf USB C. Einzig SMS und Anrufe kommen nun über die Funkverbindung.

Nun wäre natürlich schön gewesen, wenn ich meinen Akku gleichzeitig hätte laden können. Aber das können die Adapter nicht. Ich werde fleißig weiter suchen, vielleicht gibts ja irgendwann einen.

Mein kleines Fazit:

Günstig Funktioniert ab Android 3.1 Einfach Akku hält länger Schnelles Internet auf dem Handy Perfekt für die Arbeit am Schreibtisch Weniger Funkstrahlung	Funktioniert nicht mit POE (Laden und Daten gleichzeitig) Ich kann nicht rumlaufen und verlege dauernd den Adapter ; -)

Jetzt interessiert mich natürlich, wie gut das bei eurem Smartphone oder Tablet funktioniert hat?
Eure Antwort und eventuelle Fragen könnt ihr einfach hier in die Kommentare schreiben.

-<-,–{@ Euer Darian

von Darian am 15.07.2020 18:55

Habe gerade über die Apple Seite meine neue Watch bestellt und mich für die 0% Finanzierung entschieden.

Alles ging online und total unkompliziert.

Ist schon fast erschreckend wie schnell und unkompliziert auf einmal Geld ausgegeben werden kann

von Slater am 13.07.2020 12:49

Nun freue ich mich auf den ersten Beitrag, der den Projektstart von dariansprojekt.de markiert. Ich fange mit dem wohl Einfachsten an, das zugleich das Schwerste ist: Das eigene Verhalten – im Umgang mit mobilen Daten.

Hintergrundwissen

Für dieses Thema habe ich eigenen Erfahrungen und etwas Recherche im Internet genutzt, denn ich versuche jetzt und in Zukunft euch kein Bauchgefühl, sondern möglichst fundiertes Wissen weiter zu geben. Das Symbol mit dem Flugzeug hat wohl jedes Android und jedes iOS Smartphone. Es steckt der Flugmodus dahinter.

Dieser Flugmodus schaltet alle Funkverbindungen (Bluetooth, W-LAN, 1-5G) ab. Wenn ihr diesen aktiviert habt, strahlt euer Smartphone nicht mehr. Ich habe viele (teilweise fragwürdige) Theorien gefeunden, dass im Hintergrund immer noch gefunkt wird, aber das ist so wenig, dass wir es hier mal vernachlässigen.

Ist euer Flugmodus ausgeschaltet und nichts anderes aktiviert, dann seid ihr per Telefonanruf und SMS erreichbar. Erst, wenn ihr W-LAN (zuhause) oder Mobile Daten (Unterwegs) aktiviert, hat euer Smartphone Internet.

Das erzeugt aus dem Grund viele Funkstrahlen, da jede App auf eurem Handy, die Internet braucht, nachschaut, ob es etwas Neues gibt – „Pull“). Es gibt ein paar Apps, denen Google oder Apple sagt, dass es etwas Neues gibt, das nennt sich dann „Push“. In beiden Fällen wird viel gefunkt und wenn ihr dann ans Smarthone geht und bei Instagram, Whatsapp, Facebook, TikTok nachschaut, was denn neu ist, dann muss natürlich viel geladen werden. Am Beispiel von Whatsapp bedeutete das folgende Datenmengen:

Das ist jetzt nur ein einziges Programm. Du weißt selber, wie viele Apps du auf deinem Handy hast. Im Vergleich zu Whatsapp verbraucht Youtube für ein 2,5 Minuten Video in 720p ca. 25 MB.

Meine Einsparversuche

Mein Datenverbrauch lag in der Woche vor dem Selbstversuch bei 2,3 GB pro Woche. Ich musste an 5 von 7 Tagen mein Smartphone tagsüber noch einmal mit Strom nachladen.

Datenverbrauch 2,3 GB pro Woche

Strom nachladen an 5 von 7 Tagen

Ich habe mir eine Woche Zeit genommen und verschiedene Möglichkeiten getestet Strahlung zu sparen. Das Ergebnis sehr ihr hier…

• Zuerst einmal habe ich geschaut, welche App wie viele Daten verbraucht. Das macht man bei Android in den
  Einstellungen –> Akku
  
  Wir ihr seht, geht bei mir die Hälfte für die Arbeit mit Mail und Telegram drauf. Das private kommt erst danach.
• Manche Messenger können das Updateintervall größer stellen, meine nicht Ich konnte aber das automatische Herunterladen von Bildern und Videos deaktivieren. So lädt mein Handy nur runter, was ich auch anschauen will.
• Ich schalte das Smartphone nachts ganz aus. Probierts aus, das tut echt gut. Der Wecker klingelt bei meinem Smartphone auch, wenns aus ist.
• Beim Sport oder wenn ich eh was ganz anderes mache, schalte ich die Mobilen Daten aus.
  Dabei ist mir in den letzten Tagen aufgefallen, dass es schnell zur Gewohnheit wird Mobile Daten auszuschalten, wenn ich das Handy nicht nutze. Allerdings mussten manche Freunde eine ganze Weile warten, bis sie eine Antwort von mir bekamen. Denn natürlich rührt sich mein Smartphone nicht, wenn ich Mobile Daten aus habe und mir jemand über einen Messenger schreibt.
• Apps zur Hilfe nehmen
  • Um das Problem mit der Erreichbarkeit zu lösen gibt es einige Apps, die euch helfen Mobile Daten und damit auch Akku zu sparen. Dazu gebt ihr im Playstore einfach mal „Mobile Data Saver“ ein und schaut, welche App euch gefällt. Die meisten informieren euch, welche App wie viel Daten verbraucht und hindern sogenannte Hintergrunddienste daran ins Internet zu gehen, also funktionieren diejenigen Apps, die ihr gerade offen habt.
    Manche Smartphone können das auch schon ohne App und nennen es Energiesparmodus.
  • Ich habe diese hier getestet: Simple Battery and Data Saver
    Diese App regelt den Wechsel von W-LAN zu den Mobilen Daten und – was mir am besten gefallen hat – ich kann einstellen, dass eine halbe Stunde lang Mobile Daten ausgeschaltet werden. Danach schalten sie sich automatisch an, alles wird aktualisiert und ich bekomme alle meine Nachrichten, danach schaltet es sich wieder ab. Wenn ich aktiv am Handy sein will, kann ich Mobile Daten natürlich, wie bisher, einfach dauerhaft einschalten.
    
• Updates nur per W-LAN zulassen oder durchführen. Oh, das kann unheimlich viel sparen. Soweit die Theorie. Die Praxis zeigt, dass es in der letzten Woche kein Systemupdate bei mir gab und es war schon etwas gewöhnungsbedürftig immer zu warten, bis ich zu Hause bin, um Programme zu updaten.
  Nach einer Woche ist mir jetzt aufgefallen, wie viel Zeit ich im Bus immer genutzt habe, um irgendetwas zu aktualiseren. Wenn ich mich am Smartphone nur mit Inhalten und nicht mit dem System und den Programmen beschäftige, bin ich irgendwie entspannter und lege das Gerät auch mal weg.
• Nicht genutzte Apps sollten aus vielen Gründen gelöscht werden, aber auch aus meinem Grund.

Meine Erfolge

Puh, das war eine lange Woche. Ich habe viel gelesen und viel ausprobiert. Außerdem habe ich darauf geachtet, dass ich möglichst wenig anderes verändere, damit der Wert größtmöglich Vergleichbar wird. Wobei dies natürlich kein wissenschaftliches Ergebnis ist, sondern nur mein Versuch.

Datenverbrauch 1,75 GB in dieser Woche

Strom nachladen an 2 von 7 Tagen

Eine App zu installieren war einfacher, als „nur“ mein Verhalten zu ändern. Aber ich habe etwa 24% Mobile Daten eingespart.
Ich war vollständig erreichbar (abgesehen von dem Tag, an dem ich Mobile Daten viel aus hatte) und musste nichts dafür kaufen und die jeweils halbe Stunde der Nicht-Erreichbarkeit fällt erstaunlich wenig auf.
Ich habe 12 Apps deinstalliert, 7 davon waren welche, die immer wieder etwas herunterladen, auch, wenn ich sie nicht genutzt habe.
Auf diese Weise kann ich meine 10 GB pro Monat aus meinem Tarif ohne Probleme einhalten.
Als positiven Nebeneffekt musste ich mein Smartphone nur an 2 Tagen tagsüber nachladen und ich war etwas entspannter.

Wie nutzt du deine Mobilen Daten und hat es bei dir auch so viel Auswirkungen, wenn du die kleinen Tipps beachtest?

Quellen

Tabelle des Datenverbrauchs: chipd.de abgerufen am 30.06.20
Tipps von: Heise.de abgerufen am 22.6.20
Artikel über den Flugmodus auf: Wikipedia abgerufen am 28.06.20

-<-,–{@ Euer Darian

von Darian am 30.06.2020 23:35

Vergangene Woche wurde ich auf webh.pl aufmerksam, einen Internet Service Provider mit Standort Lodz, Polen. Nach kurzer Anfrage erhielt ich die Möglichkeit, eins ihrer VPS-Pakete für über eine Woche unter die Lupe zu nehmen. Generell bin ich hin und wieder auf der Suche nach kleinen, effizienten, zumeist virtuellen Systemen, auf denen unter anderem diese Webseite gespeichert und ausgeliefert werden kann. Bislang fuhr ich mit servercow.de, einem Dienst vom mailcow-Entwickler André Peters, sehr gut. Und auch weiterhin bin ich von seinem Service begeistert und werde ihm keineswegs den Rücken kehren. Dennoch schadet es sicher nicht, einmal einen Ausflug zu anderen Anbietern zu wagen und deren Benutzerfreundlichkeit und Leistungen in ein Verhältnis zu setzen.

Im weiteren Verlauf dieses Artikels werde ich die einzelnen Komponenten ausgiebig testen und versuchen, die Ergebnisse relativ mit früheren Tests vergleichen.

Sollte euch der Test gefallen haben und solltet ihr euch für webh.pl entscheiden, würde ich mich freuen, wenn ihr meinen Referral-Link oder -Code bei der Registration/Bezahlung verwenden würdet. Vorteil für euch: 20% Rabatt auf die erste Bezahlung:

Für den Referral-Link hier klicken oder den Promo-Code “PROMO46344” verwenden.

Intro

Bei dem Test-VPS handelt es sich um das Paket “KVM Standard” mit folgenden Leistungsmerkmalen:

• 4 vCPUs
• 8GB RAM
• 80GB SSD Speicher (500GB/1000GB HDD Speicher für 40/80 Zloty zubuchbar)
• keine Limitierung für Datentransfers

Der Preis liegt in dieser Ausstattung bei 90 Zloty pro Monat, derzeit sind das 19,64 Euro. Ist man mit 2 vCPUs zufrieden, drückte das den Monatspreis auf 60 Zloty pro Monat, etwa 13,09 Euro.

Zusätzliche Daten

• Standort Polen (Lodz)
• SLA von 99,9%
• Root-Zugriff
• Jederzeit Zugriff via VNC
• Installation von individuellen ISO-Dateien
• Skalierbarkeit (die Grundpakete können später im Webinterface beliebig skaliert werden)
• Automatische, stündliche Snapshots
• Snapshots werden 14 Tage rückwirkend aufbewahrt
• Snapshots können vom vmmanager aus wiederhergestellt werden
• Der Kunde erhält einen zusätzlichen virtuellen Server für die Wiederherstellung von Daten aus Snapshots
• Snapshots haben keinen Einfluss auf die Performance des Servers
• Angegebene Ressourcen werden garantiert
• Keine Einschränkungen für Gameserver oder andere netzwerkintensive Anwendungen, keine Blockade von Torrents

Bezahlmöglichkeiten

• EU-Banküberweisung
• PAYU (VISA und MasterCard)
• PayPal

Die Webinterfaces

Registration und Billing

Die Registration erfolgte unter https://ssl.webh.pro/ und war äußerst schnell und unkompliziert erledigt.

Das “ISPsystem billmanager“-basierte Interface ist übersichtlich, wirkt jedoch etwas altbacken. jedoch bietet es in übersichtlicher Form alle notwendigen Einstellungen und Übersichten. Einen sehr positiven Eindruck erhalte ich von der Geschwindigkeit des Interfaces.

VPS-Management

Die Steuerung des VPS ansich erfolgt im “ISPsystem vmmanager”-basierten Webinterface. Dieses passt designtechnisch zum Billing-Interface, dient jedoch explizit der Verwaltung von VPS.

Mein Test-VPS wurde bei Erstellung sofort mit CentOS 7 eingerichtet. Eine Neuinstallation ist über das Interface leicht zu erreichen, dabei konnte ich zwischen folgenden Presets wählen:

• CentOS 7
• CentOS 8
• Debian 8
• Debian 9
• Debian 10
• FreeBSD 11
• FreeBSD 12
• Ubuntu 16.04
• Ubuntu 18.04

Diese wiederum bieten unterschiedliche “Recipes”, also “Rezepte”, mit denen ich automatisiert bestimmte Anwendungen vorinstallieren lassen kann:

• Bitrix CRM
• Django
• ISPmanager Lite
• LAMP
• OpenVPN
• Redmine
• Teamspeak
• Tomcat
• VMmanager

Hier merke ich: Es wird sich Mühe gegeben, indem man aktuelle Betriebssysteme fertig zur Installation anbietet und dem Kunden so Zeit und Aufwand spart.

Zum Test entschied ich mich für ein aktuelles Ubuntu 18.04 “bionic”, da ich mir hiermit neben einem aktuellen Kernel auch aktuelle Versionen der Tools für Netzwerk- und Performancetests erhoffte. Leider stellte sich später heraus, dass diese Entscheidung einen teil meiner Netzwerk-Performancetests stören würde.

Bequeme Zusatzfunktion: Ich kann im vmmanager direkt meinen SSH-Pubkey angeben, sodass dieser direkt hinterlegt wird und ich mir somit einen lästigen Passwort-Login spare. Leider führt im Fall Ubuntu 18.04 diese Funktion dazu, dass eine Reinstallation sich aufzuhängen scheint – hier besteht noch Verbesserungsbedarf.

Nützlich: webh.pl erlaubt es dank entsprechender Virtualisierungstechnologie, Systeme mit individuellen vom Kunden hochladbaren ISO-Dateien zu installieren. Wollte ich also Fedora installieren, welches webh.pl nicht als fertiges Image anbietet, könnte ich dies über diese Funktion recht einfach tun. Mit entsprechender Konfiguration (Festplattentreiber, Netzwerktreiber) ließ sich im Test sogar ein uraltes Windows XP Pro SP3 installieren:

Um von den nützlichen Logging-Funktionen, auch dem Performance-Logging, beider Interfaces gebrauch zu machen, empfiehlt es sich, die Zeitzone im Interface korrekt zu konfigurieren. Diese stand per default auf “Afrika/Windhoek”, was einen Zeitversatz bedeutet und unter Umständen für Verwirrung sorgen könnte.

Allgemeines

Reinstallationen

Die Reinstallationen funktionieren zuverlässig, sauber und schnell. Wird jedoch über das Webinterface ein SSH-Pubkey eingegeben, so hängt sich das System bei der Installation auf und reagiert nicht mehr. Startet man es dann manuell neu, wird man automatisch in die GRUB2-Kommandozeile eingeloggt, da GRUB nicht vollständig konfiguriert wurde.
Eine Reinstallation ohne vorher eingegebenem SSH-Key funktioniert fehlerfrei.

Nach der erfolgten Installation kann ich nun also meinen SSH-Key unter Zuhilfenahme des Passworts auf die Maschine kopieren und mit der Einrichtung meines Servers fortfahren:

ssh-copy-id root@91.205.75.239
ssh root@91.205.75.239

IP-Adressen

Eine Recherche der mir zugewiesenen IPv4 ergab, dass die IP bereits von anderen vorherigen Kunden genutzt wurde. Ein Blacklist-Check lieferte jedoch ein sauberes Ergebnis. Eine entsprechende Bereinigung und Cooldown-Periode wird von entsprechend guten Internet Service Providern nach Kündigung vorgenommen.

Support

webh.pl bietet Support unter anderem in ihrer Muttersprache Polnisch, aber auch in Englisch und Deutsch an. 4 mal habe ich den Support unvermittelt kontaktiert und die Reaktionszeit aufgezeichnet.

Die Antworten kamen zügig und man kann in diesem Preissegment und ohne zugesicherte Support-Antwortzeiten wirklich nichts bemängeln:

Hostsystem und Virtualisierungslösung

Laut dmidecode kommt ein Red Hat Enterprise Linux 7 auf dem Hostsystem zum Einsatz. Zugewiesen sind der VM wie bereits erwähnt 4 vCPU-Kerne mit Taktraten von je 2793 MHz.

/proc/cpuinfo verrät in diesem Fall nicht den konkreten Typ der CPU, jedoch lässt sich erahnen, um welchen es sich handelt (Skylake Model 85, 4 MiB L2 Cache, 2793 MHz, Stepping 4):

4112 Xeon Silver $ 473.00 11 July 2017 4 8 2.6 GHz 3 GHz 85 W 4 MiB 8.25 MiB DDR4-2400 768 GiB

CPU-Vulnerability Mitigations

root@m:~# tail /sys/devices/system/cpu/vulnerabilities/*
==> /sys/devices/system/cpu/vulnerabilities/itlb_multihit <==
KVM: Vulnerable

==> /sys/devices/system/cpu/vulnerabilities/l1tf <==
Mitigation: PTE Inversion

==> /sys/devices/system/cpu/vulnerabilities/mds <==
Vulnerable: Clear CPU buffers attempted, no microcode; SMT Host state unknown

==> /sys/devices/system/cpu/vulnerabilities/meltdown <==
Mitigation: PTI

==> /sys/devices/system/cpu/vulnerabilities/spec_store_bypass <==
Vulnerable

==> /sys/devices/system/cpu/vulnerabilities/spectre_v1 <==
Mitigation: usercopy/swapgs barriers and __user pointer sanitization

==> /sys/devices/system/cpu/vulnerabilities/spectre_v2 <==
Mitigation: Full generic retpoline, STIBP: disabled, RSB filling

==> /sys/devices/system/cpu/vulnerabilities/tsx_async_abort <==
Not affected

Konkret ist es so, dass die potenziellen Sicherheits- und Denial of Service-Lücken itlb_multihit, MDS und spec_store_bypass laut Gastsystem nicht abgeschaltet scheinen und daher potenziell ausgenutzt werden können. Da es sich jedoch um eine virtualisierte Lösung handelt, ist es durchaus denkbar, dass diese Lücken in Wirklichkeit umgangen werden, dies aber vom Gastsystem nicht feststellbar ist.

“I have received information that we’re not showing patches in /sys/devices/system/cpu/vulnerabilities/* for security reasons.”

webh.pl Support

Besonderheit ext4 reserved space bei vergleichsweise kleinen Festplattenspeichern

Aufgrund der per Standard knapp bemessenen 40/80G an Speicherplatz, ist es sinnvoll, Speicher zu sparen wo möglich. Empfehlenswert ist hierbei unter anderem, bei ext4-Dateisystemen den “Reserved Space” (normal 5%) zu verkleinern oder, wenn möglich, sogar komplett abzuschalten.

tune2fs -m 0.5 /dev/vda2 # Reservierter Speicher auf 0,5%
tune2fs -m 0 /dev/vda2 # Reservierter Speicher deaktiviert

Besonderheit Swapfile

Im neuesten Ubuntu LTS wurde begonnen, nicht mehr länger SWAP-Partitionen zu erstellen, sondern auf Swapfiles zu setzen. So auch im Standardsetup von webh.pl: Ein 2G großes Swapfile wird erstellt, welches selbstverständlich von dem zugesicherten Festplattenspeicher abgezogen wird. Möchte man diesen Speicher freigeben, kann man das Swapfile deaktivieren und entfernen. Es ist keine Rekonfiguration der Partitionstabelle mehr notwendig.

Routing

Das Routing spielt bei einem Server meist eine wichtige Rolle, da mit jedem Hop, der nicht passiert werden muss, die Latenz sinkt, was sich wiederum auf Anwendungen und deren Kommunikation auswirkt. Daher testete ich das Routing aus den Netzen unterschiedlicher Internetanbieter und von unterschiedlichen Standorten aus.

tkchopin.pl – webh.pl

servercow.de (meerfarbig Gmbh & Co. KG) – webh.pl

hetzner FSN1-DC1 (Falkenstein) – webh.pl

Vodafone DSL (Stuttgart) – webh.pl

Die Maps wurden generiert mit dem Leaflet Traceroute Mapper von Peter Thomson, welcher wiederum auf dem Traceroute Mapper von Stefan Sundin basiert, die Kartendaten stammen von OpenStreetMap.

Zumindest im Fall des Endkunden-Zugangs über tkchopin.pl, einem lokalen Internet- und Kabel-TV-Anbieter, erhielt man zum Zeitpunkt des Tests ein vergleichsweise direktes Routing. Für den Zugriff aus Deutschland war zweimal das Routing über Warschau und Stettin unumgänglich.

Das Routing von hetzner in Falkenstein nach webh.pl in Lodz war absurder, der fünfte Hop erfolgte über Großbritannien, was jedoch auch auf einen Fehler in der Datenbank von ipinfo.io zurückzuführen sein kann.

Netzwerkkonfiguration

Es handelt sich auf dem Server um eine statische Netzwerk-Konfiguration, welche im Fall von Ubuntu 18.04 nicht netplan/networkd-basierend ist, sondern auf die ältere ifupdown-Konfigurationsmethode in /etc/network/interfaces setzt.

auto ens3
iface ens3 inet static
address 91.205.75.239/24
gateway 91.205.75.1
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 1.1.1.1 8.8.4.4
dns-search webh.me

DNS

Ein Blick in die /etc/resolv.conf zeigt, da es sich um Ubuntu 18.04 handelt, dass systemd-resolved zum Einsatz kommt. Das war zu erwarten. Um also die wirklich genutzten DNS-Resolver herauszufinden, ist es notwendig, “systemd-resolve –status” auszuführen oder die /etc/systemd/resolved.conf oder die /etc/network/interfaces zu konsultieren.

Per default sind auf dem Testsystem die DNS-Resolver 1.1.1.1 (Cloudflare) und 8.8.4.4 (Google Public DNS Secondary) hinterlegt.

IPv6

Während des Tests fiel mir auf, dass das Testsystem über keine IPv6 verfügte. Auch der Versuch, eine solche über den vmmanager aufzuschalten schlug fehl. Eine Nachfrage bei webh.pl sorgte dann für Klarheit:

“We’re not offering ipv6 for now, but we’re going to offer it in the future.”

webh.pl Support

Demnach wird webh.pl IPv6 in Zukunft anbieten, was meiner Meinung nach im Jahre 2020 auch ein Muss darstellt.

Reverse-DNS

Im Test wurde nicht klar, wie Reverse-DNS-Einträge zu ändern sind. Zwar bietet der vmmanager eine solche Funktion, jedoch sorgte eine Anpassung dort nicht für das gewünschte Ergebnis. Auf Anfrage teilte der Support mit

“We’re using different IP subnets for our clients. For some of them, clients can change revdns using control panel, for rest we can change it upon request.”

webh.pl Support

Es handelt sich hierbei also offenbar um eine IP aus einem der Subnetze, für die eine Änderung der Reverse-DNS-Einträge nur aufschließlich über den webh.pl-Support erfolgen kann.

Performancetests

Netzwerk-Datentransferraten

Für die Datentransfers nutzte ich weiterhin speedtest-cli und wählte daher folgende Peers gewählt:

• 30907) Deutsche Telekom Technik GmbH (Berlin, Germany) [394.94 km]
• 4886) Stadtwerke Neumünster GmbH (Neumunster, Germany) [538.44 km]
• 18667) meerfarbig GmbH & Co. KG (Frankfurt, Germany) [818.46 km]
• 21514) Contabo GmbH (Munich, Germany) [855.26 km]

Diese werden im Abstand von 20 Minuten jeweils doppelt sequenziell getestet und die Ergebnisse mittels –csv Parameter und entsprechender Ausgabeumleitung als CSV in eine Tabelle zur späteren Verarbeitung geschrieben, etwa so:

30907,Deutsche Telekom Technik GmbH,Berlin,2020-03-28T07:17:20.127799Z,422.89016707081726,27.723,189797326.6667173,4150220.759736613,,91.205.75.239
30907,Deutsche Telekom Technik GmbH,Berlin,2020-03-28T07:17:41.287859Z,422.89016707081726,23.271,188071670.36669397,4150181.2915712413,,91.205.75.239
20478,Contabo GmbH,Nuremberg,2020-03-28T07:18:02.505737Z,646.0977991623539,35.526,182002432.52288514,4067378.244187205,,91.205.75.239

Leider birgt die von Ubuntu paketierte speedtest-cli einen Bug, welcher hier dokumentiert ist und dafür sorgt, dass Upload-Tests bei etwa 4 Mbit/s limitiert werden. Unglücklicherweise wurde ich auf diesen Umstand erst nach dem Test von einer Woche Testdauer aufmerksam. Aus diesem Grund beinhalten die folgenden Graphen lediglich Download-Datenpunkte.

Downloadraten aus Richtung der 4 unterschiedlichen Peers, Angaben in Mbit/s

Die Transferraten sind relativ stabil zwischen 192 und 177 Mbit/s jenach Peer. Vereinzelt gab es Streuung nach unten in den Abendstunden und einigen Ausreißern, welche hauptsächlich auf die Gegenstellen zurückzuführen sind.

Zuvorkommend: Bereits nach dem Testzeitraum bot mir webh.pl auf Nachfrage an, den Server zwei weitere Tage testen zu können, um zumindest einige Ergebnisse zu den Uploadraten zu sammeln.

RAM-Benchmark

Für den RAM-Benchmark mache ich mir wieder sysbench und dessen memory-Modul zunutze. Ich teste den Datendurchsatz von Schreib- als auch den von Lesevorgängen.

sysbench --threads=4 memory run

Pro Testdurchlauf erhalte ich damit folgenden Output:

Total operations: 39587238 (3958095.14 per second)
38659.41 MiB transferred (3865.33 MiB/sec)

Durchsatzraten lesend und schreibend (Datenpunkte “lesend” wurden seltener und erst später gesammelt)

Im Test zeigte sich, dass die Durchsatzraten lesend zwischen 16000 MiB/s und 18000 MiB/s lagen und nur sehr selten unter 16000 MiB/s fielen.
Die Durchsatzraten schreibend hingegen lagen meist bei 5000 MiB/s und fielen nur selten unter 4500 MiB/s.

Im Ranking liegt das Testsystem von webh.pl damit hinter meinem in die Jahre gekommenen ThinkPad T420 (wenn ausgestattet mit zwei DDR3-1333-Riegeln) und dem performantesten meiner Servercow-vServer. Absolut betrachtet bietet webh.pl jedoch trotzdem vernünftige und auch über längere Zeiträume stabile RAM-Durchsatzraten.

“All servers have ddr4 ecc ram bands.”

webh.pl Support

CPU-Benchmark

sysbench CPU Benchmark über die gesamte Testdauer

Der CPU-Test fiel kleiner aus, da ich hierzu diesmal nur die “events per second” aufnahm. Hier zeigte sich, dass dieser Wert über den gesamten Testzeitraum hinweg zwischen 3600 und 4400 Events lag. Während dieser Wert ansich keine Aussage über die absolute CPU-Leistung zulässt, zeigt er doch die Abweichungen in bestimmten Lastsituationen (beispielsweise nachts, wenn CPU-intensive Anwendungen wie zur Kompression von Logs laufen).

Da ich zu dieser Metrik derzeit keine weiteren Vergleichswerte habe, fällt es hier schwer, die Ergebnisse ins Verhältnis zu setzen. Mein mittelmäßig ausgelasteter i5-2520M im ThinkPad T420 schaffte im Schnitt 2500 events pro Sekunde.

Bessere CPU-Tests bietet beispielsweise die Phoronix Test Suite, indem sie echte Anwendungsfälle (beispielsweise das kompilieren einer bestimmten Kernel-Version) abdeckt und die benötigte Zeit misst und aufzeichnet.

“In our infrastructure we use different processors within Intel Xeon Scalable gen 1 and gen 2 series.”

webh.pl Support

IO-Benchmark

Auch für den IO-Benchmark habe ich Daten über mehrere Tage hinweg aufgezeichnet. Im Schnitt erreichte ich hier für die folgenden Modi die folgenden Performancewerte:

“We have infrastructure where our hosts and storage are on different nodes. We’re attaching our working nodes to storage nodes. We’re using both ssd and nvme drives within our storage nodes and we’re currently moving everything to nvme.”

webh.pl Support

Fazit

Für wen die Systeme von webh.pl geeignet sind

Wer auf der Suche nach einem VPS mit stabiler Internetanbindung, gutem Standort und äußerst schnellem, freundlichem und zuvorkommendem Support ist, ist mit webh.pl gut bedient. Die Angebote sind nicht die billigsten, aber das Preis/Leistungs-Verhältnis stimmt definitiv.

webh.pl kommt in meinem Fall für zukünftige Projekte definitiv in die engere Auswahl.

Anmerkungen

Derzeit wird die Webseite von webh.pl in die englische und russische Sprache übersetzt. Deutsch soll laut webh.pl anschließend auch folgen. Es zeigte sich jedoch auch, dass eine automatische Übersetzung mit Google Translator völlig ausreichend ist, da die anschließenden Webinterfaces in vielen unterschiedlichen Sprachen, darunter Deutsch, verfügbar sind.

Bis auf die hängende Installation mit vorab eingegebenen SSH-Keys, die Tatsache, dass es noch kein IPv6 gibt und in manchen Fällen die Änderung von Reverse-DNS-Einträgen nicht durch den Kunden möglich ist, bin ich positiv beeindruckt.

Während dieses Tests …

Für diesen Test wurden insgesamt circa 1810G an Daten herunter- und 90G an Daten hochgeladen. Ferner wurden 203296740 ms (~56h) CPU-Zeit verbraucht und 211.680.000 IOPS durchgeführt.

von maltris am 06.04.2020 20:12

%!s()

At the beginning of this year I gave two times a presentation about Nextcloud Talk. First at the annual CS3 conference in Copenhagen and just one week later at FOSDEM in Brussels. Nextcloud Talk provides a full featured real-time communication platform. Completely Free Software, self-hosted and nicely integrated with all the other aspects of Nextcloud.

(This blog contain some presentation slides, you can see them here.)

von Björn Schießle (bjoern@schiessle.org) am 07.03.2020 06:00

Willkommen bei WordPress. Dies ist dein erster Beitrag. Bearbeite oder lösche ihn und beginne mit dem Schreiben!

von chris am 03.03.2020 08:53

von Thorsten am 25.02.2020 19:29

Anknüpfend an die Fragen von Gerald stellte Ariez J. Vachha nun eine weitere Frage an die Kandidaten.

Ein Hinweis: Fragen und Antworten sind ursprünglich auf Englisch. Dies ist nur eine Übersetzung.

Ich würde gerne wissen, wie die Kandidaten es denjenigen, die sich beteiligen wollen, vor allem den Nicht-Programmierern, leichter machen wollen das auch tun zu können.

Danke, dass du diese Frage stellst, denn sie berührt ein (wenn nicht gar das) entscheidende Thema für openSUSE als Gemeinschaft in der nahen Zukunft.

Ich möchte meine Ansicht dazu an einem einfachen Beispiel veranschaulichen:
Wenn man opensuse.org besucht, gibt es oben rechts einen Menüpunkt namens „Mitarbeiten“. Ein Klick darauf bringt dich zum Teil der Seite über Beiträge. Dort hat man die Wahl zwischen zwei Dingen: Code und Hardware. Wenn wir Glück haben, klickt ein potenzieller Beitragender auf „Code“ und bekommt vier leicht unmotivierte Textzeilen und eine Schaltfläche „mehr herausfinden“ präsentiert. So kann man nicht freundlich und einladend sein. Hoffen wir, dass nicht zu viele Leute dadurch abgeschreckt werden.

Aber was ich als ein weitaus größeres Problem sehe – und eine Art Grundmuster in oS – ist, dass sich hinter dem „Finden Sie es heraus…“-Knopf in der Tat wirklich gute und detaillierte Informationen darüber befinden, wie man einen Beitrag leisten kann. Dokumentation, Tests, Übersetzungen und so weiter ist alles da. Aber es wird nicht in einer vernünftigen Weise kommuniziert! Es ist an verschiedenen Orten versteckt, tief im Wiki vergraben. Das Wiki ist ein guter Ort für ausführliche schriftliche Erklärungen, aber nicht, um einen ersten Schritt in den Pool zu machen.

Meine Idee ist also Teil einer ganzen noch zu definierenden Umstrukturierung von opensuse.org. Ich habe vor einer Weile einige Gedanken vorgeschlagen, wurde aber aufgrund der damaligen Umbenennungs-/Umbenennungsdiskussion gebremst. Dennoch habe ich diese Dinge immer noch auf meiner Liste, die ich diskutieren und in Angriff nehmen möchte. [1]

Natürlich ist die Website nur ein Puzzleteil. Das ganze „frisches Blut bekommen“ (wie Du es nennst) muss weiter vorangetrieben werden. Daher die Initiative des Marketing-Teams, spezielle T-Shirts für Leap 15.2 Betatester zu beschaffen. [2]
Dies ist etwas, das leicht nach außen kommuniziert werden kann und ein Türöffner für neue Menschen sein kann. Allerdings ist es dort nicht die Aufgabe eines Board-Mitglieds. Aber ich denke, es ist gut, wenn sich das Board an dieser ganzen Kommunikationsinitiative beteiligt.

Du hast weitere Fragen? Schreib mir!

[1] https://lists.opensuse.org/opensuse-project/2019-06/msg00195.html
[2] https://en.opensuse.org/openSUSE:Marketing_meeting:2020-01-08#1.3_Leap_15.2_Beta:_Promote_beta_testing

von Vinzenz Vietzke am 26.01.2020 22:59

Bereits Anfang 2019 habe ich für das Board von openSUSE kandidiert. Nachdem inzwischen wieder zwei Plätze offen sind, stehe ich auch diesmal wieder für die Aufgabe zur Verfügung und stelle mich zur Wahl.

Einen allgemeinen Überblick über meine Vorstellungen und Ziele gibt es hier.

Im Vorfeld zur Wahl stehen alle Kandidaten der Community natürlich für Fragen offen. Einen Katalog aus 5 Fragen von Gerald Pfeifer, derzeit Chairman des Boards, habe ich beantwortet und möchte diesen auch hier bereitstellen.

Ein Hinweis: Fragen und Antworten sind ursprünglich auf Englisch. Dies ist nur eine Übersetzung.

1. Was sind deiner Meinung nach die drei, vier Stärken von openSUSE, die wir kultivieren und auf denen wir aufbauen sollten?

1) Vielfalt der Features
OpenSUSE ist vor allem für die Distributionen Leap und Tumbleweed bekannt. Die große Bandbreite der verschiedenen Teilprojekte und wie sie zusammenpassen, ist eine große Stärke. Wir sollten einen Weg finden, oS mit den ganzen Projektteilen wie YaST, OBS, openQA etc. in Verbindung zu bringen.

2) „Erbe“
Linux-Distributionen kommen und gehen, manche bleiben jahrelang, andere verschwinden in den Tiefen des Internets. OpenSUSE gibt es nun schon seit Jahrzehnten und es muss diese Tatsache in Richtung einer Anerkennung als zuverlässiger Freund für den Betrieb von Computern verändern.

3) Genehmigungsfreie Gemeinschaft
Die openSUSE-Community lebt von Menschen, die einfach Dinge tun und versuchen, andere durch Ergebnisse zu überzeugen. Das ist nicht überall bei FOSS üblich. Einige andere Gemeinschaften versuchen, die Dinge über Komitees und Oberbosse zu vereinheitlichen.

2. Was sind die drei größten Risiken, die du für openSUSE siehst? (Und vielleicht Ideen, wie man sie angehen kann?)

1) Vergessen werden
2) Teilweise unbekannt bleiben
3) Im eigenen Saft schmoren

Es könnte auch andere Risiken geben, aber diese drei passen alle zu einem großen Thema: Kommunikation – oder eher dem Fehlen einer solchen.

Meine Idee, dies anzugehen, ist es, das Marketingteam (irgendwie) wiederzubeleben und als treibende Kraft für alles, was von openSUSE in Richtung des Restes der Welt geht, zu pushen. Es gibt bereits Initiativen, Artikel zu schreiben, mit Community-Leuten in Interviews zu sprechen und neues Marketingmaterial zu erstellen. Dies erfordert natürlich Koordination und Manpower, aber es läuft bereits recht gut.

Das Marketing-Team, das ich im Sinn habe, ist eine Initiative, die in zwei Richtungen arbeitet: Neben der Arbeit in Eigenregie möchte ich es offen haben für Menschen, die Ideen, Wünsche und Projekte einbringen. Mitglieder können Tickets öffnen, Nichtmitglieder können E-Mails senden oder in Chatrooms erklären, was sie wollen oder brauchen. Die Marketingleute erledigen dann entweder die Anfrage selbst oder versuchen, jemanden zu finden, der bereit ist, dies zu tun, z.B. in Artwork, l10n oder einem anderen geeigneten Team.

Das Hauptziel ist es, einen konstanten Fluss interessanter Inhalte für den Rest der Gemeinschaft und für jeden außerhalb von openSUSE aufrechtzuerhalten.

Die Antwort auf die folgende Frage erweitert diesen Punkt noch ein wenig.

3. Was sollte der Vorstand anders / mehr tun?

Kommunizieren. Obwohl die meisten Leute hier (einschließlich mir) die Sache mit der Hierarchie nicht mögen, ist es etwas, das nicht ungenutzt bleiben sollte. Kurz gesagt: Wenn das Board etwas sagt, wird es weithin als etwas Wichtiges und Offizielles angesehen.
Obwohl das nur teilweise wahr ist und diametral zu dem steht, was der Vorstand wirklich ist (ein „Diener“ der Gemeinschaft), ist es sicherlich ein Weg, um Aufmerksamkeit für das gesamte Projekt zu gewinnen.

Ein Beispiel: Wählt relevante Dinge aus den Meetingnotizen aus, macht einen monatlichen Beitrag auf news-o-o, fügt ein nettes „Board News“ Emblem hinzu.

4. Wenn du einen Blanko-Gutschein vom SUSE-CEO für einen Wunsch hättest, welcher wäre das?

Ich würde ihn dafür verwenden, die Prozesse mit Heroes und der technischen Infrastruktur zu vereinfachen. Obwohl ich nicht so sehr Details kenne, höre ich oft, dass die Dinge langsam laufen und viel nachgebohrt werden muss. Und ich gehe davon aus, dass das, was dort öffentlich sichtbar ist, nur die Spitze des Eisbergs ist.

5. Was hältst du von der Stiftung? Was hältst du für ein realistisches Ergebnis dieses Unterfangens? (Und falls anders, welches Ergebnis würdest du gerne sehen?)

SUSE ist in rechtliche und finanzielle Angelegenheiten der Community involviert und wird sich höchstwahrscheinlich niemals zurückziehen. Und es würde sich falsch anfühlen, wenn man versuchen würde, alle Verbindungen dort zu kappen. Aber meine Vermutung und Hoffnung für die Stiftung ist, dass sie die Dinge klarer und getrennter gestalten wird.

Du hast weitere Fragen? Schreib mir!

(Quelle der Fragen ist hier.)

von Vinzenz Vietzke am 16.01.2020 22:23

In letzter Zeit nimmt Spam, der über Kontaktformulare von Websites versandt wird, immer weiter zu. Während früher noch in erster Linie verirrte Bots ihren Suchmaschinenspam in die vermeintliche Eintragsfelder für Blogkommentare eintrugen, handelt es sich jetzt vermehrt um zielgerichteten Spam an die Betreiber der jeweiligen Website. Auch Abwehrmethoden wie versteckte Honey-Pot-Eingabefelder verlieren dabei mehr und mehr ihre Wirkung.

Beworben werden hierbei beispielsweise Dienstleistungen wie Suchmaschinenoptimierung, Marketing oder Kundenpflege. Besonders dreist sind Mails, in denen das Spammen von Kontaktformularen beworben wird, wie z.B.:

Did you know that it is possible to send business offer totally legit?
We presentation a new unique way of sending commercial offer through feedback forms. Such forms are located on many sites.
When such requests are sent, no personal data is used, and messages are sent to forms specifically designed to receive messages and appeals.
Also, messages sent through feedback Forms do not get into spam because such messages are considered important.
We offer you to test our service for free. We will send up to 50,000 messages for you.
The cost of sending one million messages is 49 USD.

Der Erfolg dieser Spammethode ist demnach auch darin begründet, dass der Versender der Spammails ja der eigene vertrauenswürdige Server ist und der Empfänger vermutlich nur ungern einen allzu scharfen Filter implementiert, der wichtige Kundenanfragen in den Spamordner befördern könnte.

Ich habe meine eigenen Kontaktformulare nun dennoch so erweitert, dass sie das Verhalten des User Agents auswerten und gegebenenfalls den String „[Spamverdacht]“ an den Anfang des Betreffs schreiben. Auf dem Mailserver schiebt Sieve bei Vorhandensein dieses Strings die betreffende Mail in den Spamordner. Neunzig Prozent dieser Spammails kann ich dadurch filtern, bislang ohne False Positives. Vorsichtshalber schau ich aber ein mal am Tag in den Spamordner. Unterm Strich ist die Maßnahme insoweit von Vorteil, da mein Mail-Notifier (xfce4-mailwatch-plugin) so eingestellt ist, dass er bei Mails im Spamordner nicht anschlägt, und ich dadurch seltener durch Spammails von der Arbeit abgelenkt werde.

von Jörg am 16.01.2020 20:14

von Thorsten am 26.12.2019 19:10

Wie in den letzten Jahren werde ich auch dieses Jahr wieder Threema Android Lizenzen verschenken. Dieses Jahr werde ich 5 Lizenzen verschenken. Dazu erhalten die Gewinner oder Glücklichen von mir einen Lzenzschlüssel, mit dem sie auf der Webseite von Threema dann den Android Client nach Eingabe des Lizenzschlüssel herunterladen können.

Es ist nicht möglich, damit Threema vom PlayStore sondern nur aus dem Threema Store herunterzuladen.

Teilnahme

Die Teilnahme ist ganz einfach. Die ersten 5 Nutzer die mich via XMPP / Jabber anschreiben wird (pr3ach3r@trashserver.net) und die folgenden Fragen richtig beantworten kann:

1.) Aus welchem Land kommt Threema? 2.) Was bedeuten die 3 grünen Punkte bei einem Threema Kontakt? 3.) Was ist der Threema Safe?

Ich freue mich auf eure Einsendungen. Ich möchte festhalten ich stehe in keine Zusammenhang mit Threema. Ich kaufe die Lizenzen zum vollen Preis und dieses soll auch keine Werbaktion für mich oder Threema sein. Ich will nur einen kleinen Teil zu mehr Datenschutz und Sicherheit beitragen.

von Malte Kiefer (malte.kiefer@mailgermania.de) am 07.12.2019 00:00

Nachdem ich jahrelang Google Drive (Schande über mich) als Cloud Speicher für einige Dinge genutzt habe, habe ich mich in den letzten Wochen nach einer sicheren Alternative umgeschaut. Ich habe mich für Tresorit entschieden. Da dieses ein bezahlter Cloud Anbieter ist, werde ich nichts weiter dazu erläutern, weil ich keine Werbung hier machen möchte. Jeder soll hier sich für seinen Anbieter entscheiden.

Download Linuxclient

Einer der wichtigen Punkte warum ich mich für Tresorit entschieden habe, war das es einen vollwertigen Linux Client gibt. Dieser kann über die Webseite heruntergeladen werden:

Download Linux Client

Installation

Die Installation des Clients ist sehr einfach, da es sich um einen run Script handelt. Dazu werden wir einfach das Script ausführbar machen:

chmod +x tresorit_installer.run

Danach einfach als Nutzer die Installation ausführen:

./tresorit_installer.run

Die Installation hat bei mir nur knapp 5 Sekunden gedauert und keine Abhänigkeiten gehabt. Es erscheint nur eine kleine Warnung beim ersten Start:

Warning: Ignoring XDG_SESSION_TYPE=wayland on Gnome. Use QT_QPA_PLATFORM=wayland to run on Wayland anyway.

Das war es auch schon.

von Malte Kiefer (malte.kiefer@mailgermania.de) am 06.12.2019 00:00

2014 – Ukrainekrise, Ebola, PKW-Maut. Um in all diesem Schlamassel die Stimmung zu lockern, verspricht die Politik uns den Breitbandausbau bis Ende 2018 für jeden Haushalt mit mindestens 50 Mbit/s. Das Handelsblatt berichtete Mitte diesen Jahres.

Fünf Jahre später, prüfe ich zum 10. mal diesen Jahres die Verfügbarkeit von MagentaZuhause an unserem Anschluss. Kein Erfolg, die schnellste Verbindung, welche uns vorgeschlagen wird, ist MagentaZuhause Hybrid – genau die, welche bereits vorhanden ist und dank der allerletzten, ranzigen SpeedPort Hard- und Software, geringer LTE-Geschwindigkeit und noch geringerer DSL-Geschwindigkeit ein Witz ist. Von den 2014 seitens der Telekom propagierten 50 Mbit/s mit MagentaZuhause Hybrid, die zeitweilig tatsächlich geliefert wurden, kommen heute noch 16 Mbit/s. Und da müssen wir schon eine günstige Zeit erreichen.

Donnerstag 19 Uhr im reinen LTE-Betrieb
2009 hat angerufen und möchte seine Hausanschluss-Transferraten zurück

So ganz wollten wir uns noch nicht geschlagen geben. Also riefen wir die Telekom an. Der Serviceberater teilte mit, dass MagentaZuhause L mit 100 Mbit/s in Empfangsrichtung verfügbar sei. Nanu? Ich teilte ihm meine Sorge mit, dass das nicht stimmen könnte, da die Verfügbarkeitsprüfung mit Adresse und Telefonnummer ein anderes Prüfergebnis lieferte.

Die Dartscheibe: Wichtiger mutmaßlicher Bestandteil der Terminplanung und -vergabe der Telekom

Bild: Quelle, Lizenz: GNU Free Documentation License 1.2

Er meinte das passe alles, wir klärten die weiteren Begebenheiten und erklärten, dass wir unseren Router selbst beschaffen würden. (Die Miet- und Kaufangebote der Telekom für Router sind ein Witz für sich, ich möchte jetzt nicht konkreter darauf eingehen.)

Der Serviceberater teilte uns den recht frühen Umschalttermin in vier Tagen mit. Diese scheinbar kurzfristige Terminverfügbarkeit freute uns. Ich erkundigte mich noch wie mit den Zugangsdaten zu verfahren sei und ob wir diese per Post erhalten würden – er bejahte dies.

Im Bild markiert: Telekom-Serviceberater Hannes – sein Vorgesetzer in Reihe 1 passt nicht auf, daher verkauft Hannes Internetverträge, für die gar keine Anschlüsse existieren

Bild: Quelle, Lizenz: CC-BY-SA 2.0, Änderungen: Rote Markierung

Heute ist Donnerstag, drei Tage später und nachdem unsere Fritz!Box, bestellt über Amazon, bereits am Tag nach der Bestellung da war, warteten wir vergebens auf einen Brief der Telekom. Da wir einen Ausfall des Internet aufgrund fehlender Zugangsdaten vermeiden wollten, riefen wir also heute nochmals bei der Telekom an.

Die Serviceberaterin teilte uns mit, dass der Termin am Freitag keineswegs verbindlich gebucht wurde. Auch Zugangsdaten würden wir keine neuen erhalten, die alten behielten ihre Gültigkeit. Uns wurde mitgeteilt, dass der nächste Termin für Mittwoch den 23.10 oder Donnerstag den 24.10. verfügbar sei und sie diesen anfragen würde.

Kurz darauf erhielten wir einen weiteren Anruf der Beraterin, die uns mitteilte, dass MagentaZuhause L an unserem Anschluss nicht verfügbar sei, da alle Anschlüsse die über 50 Mbit/s (das wäre MagentaZuhause M) leisten könnten, bereits belegt wären. Wir erklärten uns mit MagentaZuhause M einverstanden, da eine stabile 50 Mbit/s-Anbindung immernoch besser ist als die derzeit 14-16 Mbit/s leistende DSL+LTE-Lösung oder die 6 Mbit/s DSL-Verbindung allein.

Das Gänseblümchen – mutmaßlicher Hauptbestandteil des Telekom Verfügbarkeitschecks

Bild: Quelle – User Alexmenk auf wikimedia.org
Lizenz: CC-BY-SA 3.0

Kurz darauf erhielten wir einen weiteren Anruf der Beraterin, die Sachlage hatte sich nun weiter verschlechtert. Das gesamte Haus hätte lediglich einen 50 Mbit/s-Anschluss, welcher bereits von einem anderen Teilnehmer genutzt werde.

Das ist wohl dieser “Breitbandausbau” von dem alle reden. Um das kurz zu veranschaulichen, hier ein Bild dieses Einfamilienhauses an dem es natürlich nicht mehr als eines einzigen 50 Mbit/s-Anschlusses bedarf:

Man sieht es trotz der niedrigen Auflösung ganz klar:
Hier handelt es sich um ein 4-stöckiges Einfamilienhaus an dem es nur eines 50 Mbit/s Breitbandanschlusses bedarf.

Doch hier war es noch nicht vorbei. Wir fanden noch ein interessantes, informelles Schreiben vom August von FEXCOM:

VOLLGAS-SURFEN, 250 MBIT/S, Millionen Haushalte, JETZT, Highspeed-Internet, JETZT

Reicht noch nicht? Geht weiter!

Vor 16 Monaten: Baumaßnahmen finden gerade statt, 250 MBit/s

Noch etwas: Die tolle Karte zum Breitbandausbau zeigt für unsere Lokation 100 MBit/s DSL. Einen Screenshot kann ich aufgrund der Lizenzbestimmungen hier nicht einbinden.

Zum Schluss noch etwas zu den monatlichen Gebühren und unserem tollen Breitbandausbau:

Deutsches Telekom Kupfer-DSL mit Supervectoring (seit Jahren im mühsamen Ausbau befindlich) gegen tkchopin.pl Koaxialkabel-Internet (ohnehin fast überall in Polen vorhanden) im Preis-/Leistungsvergleich.

Nachtrag

Um den 31. Oktober kontaktierten wir wieder einmal die Telekom, da die erwartete Rückmeldung ausblieb. Die Supportmitarbeiterin teilte uns hier mit, dass bis einschließlich Dienstag dem 4. November keine Auskünfte möglich seien, da “das System geupdated” werde.

Die Telekom scheint hier ihr Armutszeugnis aufpeppen zu wollen – 5 Tage ohne Support aufgrund eines “Systemupdates”? Aufgrund meiner beruflichen Tätigkeit kenne ich die ungefähren Abläufe solcher “Updates” oder “Migrationen” und weiß, dass 5 Tage Systemausfall für eine Supportabteilung eines Unternehmens mit

• über 200.000 Mitarbeitern
• etwa 13 Millionen DSL-Kunden
• einem Jahrensumsatz von 75 Milliarden Euro

schlicht nicht notwendig sein dürfen. Sind sie es dennoch, läuft bei der zuständigen Abteilung oder beim zuständigen Dienstleister etwas gewaltig schief.

Nachtrag

Am 6. November dann der nächste Kontakt mit der Telekom. Bis zu 250 Mbit/s seien nun an unserem Anschluss verfügbar – jedoch könne der Mitarbeiter dies nicht freischalten, da die Kollegin den Fall noch bearbeite.

Warum die Kollegin sich nicht bei uns melde, sei ihm nicht bekannt. Er habe ihr eine Mail geschrieben und wir sollen noch 2 Tage auf ihren Rückruf warten. (Datum dieses Nachtrags: 11. November, noch keinen Rückruf erhalten.)

“Die Wege des Telekom-Supports sind unergründlich.”

– Unbekannt

Nachtrag

Am 12. November riefen wir wieder beim Telekom-Support an. Ein nicht sonderlich eloquenter Mitarbeiter aus Leipzig versuchte uns mal wieder abzuwimmeln mit der Methode “da sei bei kein Anschluss verfügbar, da müsse er bei der Technik anfragen, das würde 4 Wochen dauern”. Auf meine Nachfrage was in den 4 Wochen passieren würde, teilte er erst mit, dass in diesen 4 Wochen geschaut würde ob ein Anschluss verfügbar sei. Auf erneute Nachfrage teilte er mit, dass in diesen 4 Wochen ein Anschluss geschaffen würde. Aufgrund der Verdrehungen teilte ich ihm mit, dass ich seinen Vorgesetzten sprechen möchte.

Sein Vorgesetzter war hier nicht viel hilfreicher, lenkte nach einigen Minuten meines latenten “erboster Kunde”-Geschwafels jedoch ein und teilte mir mit, dass er den Tarif buchen würde, was dazu führe, dass sobald der Anschluss frei sei, wir eine Information hierüber erhielten und dann ganz gewiss der entsprechende Tarif gebucht werden könne, da wir ja bereits in der Warteschlange seien. Wir sind gespannt und werden nun wöchentlich bei der Telekom um einen neuen Stand nachfragen.

“Desperate times call for desperate measures.”

– Sprichwort

Disclaimer

Die Beschreibungen unterhalb der Bilder sind frei erfunden und dienen Unterhaltungszwecken.

von maltris am 14.11.2019 05:19

Wer häufig mit dem Texteditor vim arbeitet, wird bestimmte Einstellungen, wie z.B. zum Anzeigen von Zeilennummern oder zum automatischen Einrücken, in eine Konfigurationsdatei speichern. Während systemweite Einstellungen unter Linux in der Datei /etc/vimrc angelegt sind, können User eine eigene Konfiguration in der lokalen Datei ~/.vimrc vornehmen. Manchmal kann aber auch eine projektbezogene Konfiguration notwendig sein, wenn z.B. der Coding-Style des betreffenden Projektes eine andere Art der Einrückung vorschreibt als diejenige, die man normalerweise verwendet.

Das Plugin localvimrc ermöglicht es vim, Konfigurationsdateien mit dem Namen .lvimrc in Projektordnern einzulesen. Die Installation erfolgt als Vimball, wie unter „install details“ beschrieben: man lädt die aktuelle localvimrc.vmb herunter, und installiert diese dann folgendermaßen:

vim localvimrc.vmb
:so %
:q

Nach erfolgter Installation sucht vim bei jedem Start im aktuellen Verzeichnis eine Konfigurationsdatei .lvimrc und lädt diese bei Vorhandensein. Aus Sicherheitsgründen muss hierbei eine Sicherheitsabfrage bestätigt werden. Mit folgendem Eintrag in der Datei ~/.vimrc erreicht man, dass diese in einer vim Session nur einmalig erfolgt:

let g:localvimrc_persistent=2

von Jörg am 05.11.2019 21:07

Tl;dr: In den letzten Wochen wurde immer wieder bzgl. dem Widerruf des § 355 I S. 1 BGB und ICOs angefragt. Grundsätzlich gibt es ein solches Widerrufsrecht auch für ICOs, aber die Frist ist bei der savedroid ICO wahrscheinlich schon abgelaufen.

Update: Da in meinen Augen ein Verfahren mit Verweis auf das Widerrufsrecht nicht sehr erfolgsversprechend ist, haben wir ein alternatives Projekt in Leben gerufen: Diese „Sammelklage“ gegen savedroid ist wohl die beste Chance, sein Geld oder einen Teil davon zurückzubekommen.

1. Rechtsnatur der Token

Bei der Frage, ob ein Widerrufsrecht besteht, spielt auch die Rechtsnatur der zugrunde liegenden Token eine Rolle. Die Rechtsnatur muss für jeden konkreten Einzelfall bestimmt werden.
Vereinfacht kann man Token mit Papier vergleichen. Je nachdem, wie man ein Papier beschriftet, stellt es eine Briefmarke, einen Gutschein, eine Aktie usw. dar. Man kann aber auch nur das Papier als solches erwerben.

Bei einem Token ist es ähnlich. In erster Linie verkörpert ein Token die exklusive Möglichkeit, in einer Datenbank („Blockchain“) eine Zuordnung zu verändern. Es hängt von den Nutzern der Blockchain und maßgeblich von dem der ICO (Inital Coin Offering) zugrundeliegenden Projekt, welche Konsequenzen an diese Möglichkeit geknüpft werden soll.

Die ICO der savedroid AG war ein ITS (Inital Token Sale). Der Unterschied zu einer klassischen ICO liegt vornehmlich darin, dass der Preis pro Token bei einer ITS konstant ist, aber die Gesamtanzahl der Token schwankt. Bei der klassischen ICO ist die Gesamtzahl der Token fest vorgegeben, aber der Preis pro Token bildet sich während der ICO-Phase dynamisch. Im Rahmen des savedroid TTS war mit dem Token „lediglich“ das Versprechen verbunden, dass diese Token das ausschließliche Zahlungsmittel der App darstellt. Weder wurde von den Issuern der ITS eine bestimmte (Dienst-) Leistung pro Token noch ein bestimmter Wert (Geldbetrag) zugesagt, den man pro Token in Dienstleistung umtauschen könnte. Der SVD-Token ist daher kein Inhaberzeichen gem. § 807 BGB kann auch nicht einem Gutschein gleichgestellt werden.

Damit handelt es sich streng genommen gar nicht um einen utility token, wie er im white paper benannt wurde. Vielmehr ist der Token als currency token zu werten. Dies wird später für den Beginn der Widerrufsfrist von Bedeutung sein.

2. Rechtsnatur einer ICO/ITS

Was die Übertragung von Token — insbesondere im Rahmen einer ICO — rechtlich darstellt, wird bis jetzt kontrovers diskutiert. Von einem Rechtsgeschäft „sui generis“ über einen Realakt wird alles vertreten.

Savedroid führt hierzu in seinem Terms aus:

The savedroid ITS represents a voluntary contribution towards the implementation of crypto services in the Ecosystem. These Services, the ITS and the usage of SVDs are described in the Whitepaper…

SVD ITS Terms & Condition, v1.6, S.1

Die Formulierung „voluntary contribution“ steht in einem diametralen Widerspruch zu den Aussagen im whitepaper („inital token sale„) und dem Projekt. Es ist nicht vorstellbar, dass savedroid ernsthaft daran festhält. Die nach Eigendarstellung aufwändige KYC- Überprüfung hätte dann auch wenig Sinn gemacht.

Stellenweise wird die Durchführung einer ICO auch als Dienstleistung angesehen, welche darauf gerichtet ist, die Token „herzustellen“. Das mag insbesondere dann vertretbar sein, wenn das Projekt die Software für die Tokeninfrastruktur selbst entwickelt. Bei der SVD ITS hat man hingegen einen ERC20-Token der bestehenden Plattform Ethereum verwendet. Die Einordnung des SVD ITS als eine Dienstleistung ist daher nicht möglich.

Vereinzelt gibt es die Vorstellung, bei einer ICO handele es sich um ein „Darlehen“. Ein Darlehen ist jedoch ein Vertrag, bei dem ein Darlehensgeber einem Darlehensnehmer Geld oder vertretbare Sachen (Sachdarlehen) zum Eigentum überträgt und der Darlehensnehmer verpflichtet ist, nach Zeitablauf oder Kündigung Sachen gleicher Art, Güte und Menge an den Darlehensgeber zurück zu zahlen – § 488 I BGB.

Eine solche Rückzahlungspflicht wird im Whitepaper nicht erwähnt (SVD ITS Whitepaper v. 1.4, Pkt. 6). Eine Wertsteigerung der gehaltenen Token soll nur durch eine erhöhte Nachfrage am Markt erzeugt werden. Hierzu müssen gemäß dem Whitepaper (SVD ITS Whitepaper v. 1.4, Pkt. 3.1) die Nutzer (d.h. Dritte) der SVD-App die Token zur Inanspruchnahme von Dienstleistungen kaufen. Ein (Geld-) Rückfluss von einem Darlehnsnehmer zu dem -geber ist demnach nicht vereinbart. Es wäre jedoch denkbar, dass diese Art der Vertragsgestaltung eine unzulässige Umgehung ist.

Dies wäre dann der Fall, wenn sie den tatsächlichen Lebenssachverhalt nur künstlich verkompliziert. Aktuell ist es in der App nicht möglich, diese mit SVD-Token, welche man selbst auf einer Exchange gekauft hat, aufzuladen. Es ist im Prinzip daher immer so, dass (wenn überhaupt) savedroid die Token an der Börse zurückkauft, um sie dann den Dritten zur Verfügung zu stellen. Die dargestellte Vertragsgestaltung, dass savedroid im Auftrag von Dritten die Token kauft, kann als eine künstliche Verkomplizierung des Lebenssachverhalts ohne nachvollziehbare Gründe gesehen werden. Zutreffender muss man daher davon ausgehen, dass Dritte entgeltlich die Leistung bei savedroid in Anspruch nehmen und savedroid für diesen Umsatz Token burnt. Leider verwendet savedroid für die burnings weder eine Standardadresse, noch stellt es die burning adressen nachvollziehbar online. Da aber an den Börsen die Umsätze für SVD in den letzten Wochen sehr sehr niedrig waren, lässt dies nur die Schlüsse zu, dass entweder die App nicht nennenswert genutzt wird, savedroid aus eigenen Beständen oder den von nahe stehenden Personen burnt oder gar kein richtiges burning betreibt.

Auch wenn man zu dem Ergebnis kommt, dass savedroid als ITS-Issuer die Token zurückkauft, führt dies noch nicht zu einem Darlehen. Denn einem Darlehen ist es immanent, dass die hingegebene Sache zumindest in gleicher Art und Güte zurückgegeben wird. Da savedroid die Token jedoch nur zum Zeitwert einkauft, ist gerade nicht sichergestellt, dass die hingegebene Sache (hier Geld) auch wieder an den Darlehensgeber zurückfließt. Die Vorstellung eines Darlehens ist daher abwegig.

Es kann auch offenbleiben, ob der ITS eine sonstige Anlagen iSd. § 1 II Nr. 7 VermAnlG ist. Denn auch ein Kauf mit Rückkaufversprechen stellt zivilrechtlich immer noch einen Kauf dar.

Da es sich bei den SVD Token weder um eine Dienstleistung, oder ein Recht iSd. § 194 I BGB noch um eine Sache iSd. § 90 BGB handelt, ist die überzeugendste Einordnung ein „Kauf einer sonstigen Sache“ – § 453 I BGB.

3. Anwendbarkeit des Verbraucherwiderrufs

Das gesetzliche Widerrufsrecht könnte bei ICOs grundsätzlich ausgeschlossen sein. Denkbar wäre hier der aleatorische Charakter des Vertrages — § 312g II Nr. 8 BGB. Ein solcher schließt das gesetzliche Widerrufsrecht gänzlich aus:

Verträge zur Lieferung von Waren oder zur Erbringung von Dienstleistungen, einschließlich Finanzdienstleistungen, deren Preis von Schwankungen auf dem Finanzmarkt abhängt, auf die der Unternehmer keinen Einfluss hat und die innerhalb der Widerrufsfrist auftreten können, insbesondere Dienstleistungen im Zusammenhang mit Aktien, mit Anteilen an offenen Investmentvermögen im Sinne von § 1 Absatz 4 des Kapitalanlagegesetzbuchs und mit anderen handelbaren Wertpapieren, Devisen, Derivaten oder Geldmarktinstrumenten,

§ 312g II Nr. 8 BGB

Es ist aus Sicht des Gesetzgebers nicht zumutbar, ein solches Preisrisiko auf den Unternehmer abzuwälzen. Ein solches Risiko muss jedoch tatsächlich und innerhalb der regulären Widerrufsfrist vorhanden sein. Daher ist es unbeachtlich, ob ein Token irgendwann einmal an einer Börse gehandelt werden könnte und damit dann Schwankungen unterliegt. Solange ein Börsenstart innerhalb der regulären Widerrufsfrist weder geplant noch durchgeführt wurde, reicht dies für eine Anwendung des § 312g II Nr. 8 BGB nicht aus.

Denkbar wäre auch, die ICO selbst ist jedoch als „Finanzmarktes“ gesehen werden. Es fehlt jedoch an der Abhängigkeit des Preises von Schwankungen, soweit die ICO in Form eines Mintings (ITS) betrieben wird. In diesem Falle bleibt der Preis pro Token konstant, auch wenn der Wert des Token sich durchaus ändern kann. Denn, veräußert ein Unternehmer seine Waren/Dienstleistungen unabhängig von den Wertschwankungen zu einem konstanten Preis, so kann er § 312g II Nr. 8 BGB nicht für sich beanspruchen- AG Borken Urteil vom 26.02.2014 (Az.: 15 C 290/13), BGH Urteil vom 17.06.2015 (Az.: VIII 249/14).

§ 312g II Nr. 8 BGB findet auf ITS keine Anwendung.

4. Freiwilliges Widerrufsrecht

Ungeachtet der Entscheidung, ob der § 312g II Nr. 8 BGB anwendbar ist, er wäre nicht anwendbar „soweit die Parteien nichts anderes vereinbart haben„.

Ausdrücklich wurde zwischen den Parteien nichts vereinbar. Jedoch wurde in den AGB (Nr. 5 Terms & Condition) seitens savedroid ein (zumindest freiwilliges) Widerrufsrecht eingeräumt:

5 Right of Withdrawal
You have the right to withdraw from this contract within 14 days without giving any reason. The withdrawal period will expire after 14 days from the day of the conclusion of the contract. To exercise the right of withdrawal, you must inform us (savedroid AG Eschersheimer Landstraße 121, 60322 Frankfurt am Main, email: marco-hilft@savedroid.de) of your decision to withdraw from this contract by an unequivocal statement (e.g. a letter sent by post or e-mail). You may use the attached model withdrawal form, but it is not obligatory. To meet the withdrawal deadline, it is sufficient for you to send your communication concerning your exercise of the right of withdrawal before the withdrawal period has expired.

SVD Terms & Condition V. 1.6, Pkt. 5

In dem Absatz ist keine Bezugnahme auf das gesetzliche Widerrufsrecht zu sehen. Soweit ein gesetzliches Widerrufsrecht besteht, ist dies auch nicht notwendig.
Soweit der Absatz nur ein freiwilliges Widerrufsrecht enthält, fände der § 356 III S. 1 BGB keine Anwendung.

Dieses freiwillige Widerrufsrecht ist nur von Relevanz, wenn man den § 312g II Nr. 8 BGB bejaht. Aber auch in diesem Falle würden nur die Teilnehmer erfasst, die innerhalb 14 Tage nach Kauf ihren Widerruf erklärt hätten.

5. Ordnungsgemäße Belehrung über den Widerruf

Kernpunkt der aktuellen Diskussion ist die Frage, ob während des ITS ordnungsgemäß belehrt wurde. Auffällig ist hier zunächst, dass die Terms & Condition und damit auch die Widerrufsbelehrung in Englisch gefasst sind.

5 Right of Withdrawal
You have the right to withdraw from this contract within 14 days without giving any reason. The withdrawal period will expire after 14 days from the day of the conclusion of the contract.
To exercise the right of withdrawal, you must inform us (savedroid AG Eschersheimer Landstraße 121, 60322 Frankfurt am Main, email: marco-hilft@savedroid.de) of your decision to withdraw from this contract by an unequivocal statement (e.g. a letter sent by post or e-mail). You may use the attached model withdrawal form, but it is not obligatory.
To meet the withdrawal deadline, it is sufficient for you to send your communication concerning your exercise of the right of withdrawal before the withdrawal period has expired.
Effects of withdrawal
If you withdraw from this contract, we shall reimburse to you all payments received from you, including the costs of delivery (with the exception of the supplementary costs resulting from your choice of a type of delivery other than the least expensive type of standard delivery offered by us), without undue delay and in any event not later than 14 days from the day on which we are informed about your decision to withdraw from this contract. We will carry out such reimbursement using the same means of payment as you used for the initial transaction, unless you have expressly agreed otherwise; in any event, you will not incur any fees as a result of such reimbursement.

SVD ICO T&C, Pkt. 5

Model withdrawal form
(complete and return this form only if you wish to withdraw from the contract) To:
savedroid AG
Eschersheimer Landstraße 121
60322 Frankfurt am Main
I hereby give notice that I withdraw from my contract for the provision of the following service Ordered on
Name of consumer
Address of consumer
Signature of consumer (only if this form is notified on paper) Date

SVD ICO T&C, Pkt. 5

Dies stimmt mit dem Musterwiderruf der Anlage 2 zu Artikel 246a § 1 II EGBGB nicht überein. Allerdings kann man argumentieren, dass die ICO komplett in Englisch durchgeführt wurde und es daher unschädlich ist, dass auch die Widerrufsbelehrung auf Englisch erfolgte. Jemand, der eine Kaufentscheidung aufgrund eines englischsprachigen Whitepapers trifft, muss nicht noch einmal auf Deutsch über seine Rechte aufgeklärt werden. Ob es noch ausreicht, die Schutzfunktion des gesetzlichen Musters gem. Artikel 246a § 1 II S. 2 EGBGB zu beansprucht, muss jedoch m.E. verneint werden.

Da bei der Übersetzung jedoch keine inhaltlichen Abweichungen zu Artikel 246a II BGB erkennbar sind, dürfte inhaltlich die Erklärung rechtskonform sein — § 355 II BGB iVm. Artikel 246a § 1 II EGBGB.

Ein weiterer Diskussionspunkt ist, ob die Widerrufsbelehrung den Teilnehmern auch ordnungsgemäß zur Verfügung gestellt wurde.

Savedroid selbst hat ausgeführt, die Belehrung wäre hinreichend. So hätte der Erhalt der Widerrufsbelehrung per Opt-in ausdrücklich bestätigt werden müssen. Eine solche Bestätigung ist ein Beweis des ersten Anscheins, dass die Belehrung (ordnungsgemäß) erfolgt ist. Aber sollten mehrere Teilnehmer bezeugen, dass eine solche Belehrung gerade nicht stattgefunden hat, dürfte der Opt-In-Haken nicht weiterhelfen und der Beweis des ersten Anscheins wäre zerstört.

Auch aus dem Video lässt sich eine ordnugsgemäße Belehrung nicht ableiten. Weitere öffentlichen Aussagen, wie konkret die Teilnehmer der ICO informiert/belehrt wurden, sind nicht verfügbar. Eine Nachfrage in Telegram Channels, in denen der Autor nicht geblockt wurde, bestätigte dies. Keiner der dortigen Teilnehmer gab ein Feedback, die Widerrufsbelehrung oder ähnliches in Textform zur Verfügung gestellt bekommen zu haben.

In dem Video lässt sich aber erkennen, dass das Widerrufsrecht nicht nachträglich ausgeschlossen wird – § 356 V BGB.

6. Dauer der Widerrufsfrist

Selbst wenn die Belehrung fehlerhaft gewesen wäre, auch die verlängerte Widerrufsfrist wäre mittlerweile abgelaufen. Dies liegt an der Rechtsnatur der Token.

In dem Gründerszene-Artikel wird die Behauptung aufgestellt, die Widerrufsfrist habe nicht begonnen zu laufen:

… offenbar einen ganz erheblichen Fehler gemacht: Der ‚SVD-Token-Kaufvertrag‘ wurde in mehreren Fällen von keiner Widerrufsbelehrung begleitet“, schreibt die Anwältin Claudia Otto. Darin müssen Unternehmen ihre Kunden und Anleger über ein gesetzliches Widerrufsrecht informieren – die Frist beträgt 14 Tage. In dieser Zeit können die Verbraucher den geschlossenen Vertrag wieder auflösen. „Weil Savedroid offenbar seine Vertragspartner (…) nie über ihr Widerrufsrecht unterrichtet hat, hat die Frist nie begonnen zu laufen“, schreibt die Rechtsanwältin.

Gründerszene, abgerufen am 29.06.2019

Diese Behauptung ist unzutreffend und widerspricht dem § 356 III S. 2 BGB.

Der § 356 BGB kennt eine verlängerte Widerrufsfrist und eine Anlaufhemmung. Die verlängerte Widerrufsfrist von 1 Jahr und 14 Tage gilt für alle Nichtfinanzdienstleistungen — § 356 III S. 2 BGB. Die Anlaufhemmung und damit ein unbegrenzt Widerrufsrecht gilt, soweit es sich um eine Finanzdienstleistung handelt — § 356 III S. 2, 3 BGB.

Die Widerrufsfrist beginnt nicht, bevor der Unternehmer den Verbraucher entsprechend den Anforderungen des Artikels 246a § 1 Absatz 2 Satz 1 Nummer 1 oder des Artikels 246b § 2 Absatz 1 des Einführungsgesetzes zum Bürgerlichen Gesetzbuche unterrichtet hat. Das Widerrufsrecht erlischt spätestens zwölf Monate und 14 Tage nach dem in Absatz 2 oder § 355 Absatz 2 Satz 2 genannten Zeitpunkt. Satz 2 ist auf Verträge über Finanzdienstleistungen nicht anwendbar.

§ 356 III BGB

Was eine Finanzdienstleistung ist, ist in § 321 V S. 1 BGB legaldefiniert.

Bei Vertragsverhältnissen über Bankdienstleistungen sowie Dienstleistungen im Zusammenhang mit einer Kreditgewährung, Versicherung, Altersversorgung von Einzelpersonen, Geldanlage oder Zahlung (Finanzdienstleistungen),

§ 312 V BGB

Eine ICO/ITS stellt gerade keine (Finanz-)Dienstleistung im Zusammenhang mit einer Geldanlage dar, sie ist — wenn überhaupt — die Geldanlage. Wie oben schon dargestellt, ist der SVD-Token auch kein utility token. Er stellt damit auch keinen Gutschein/Inhaberzeichen für die zukünftige Finanzdienstleistung dar, welche durch die Cryptoapp angeboten wird.

Demnach findet das unbegrenzten Widerrufsrecht des § 356 III S. 3 BGB keine Anwendung. Das Widerrufsrecht würde demnach nach einem Jahr und 14 Tagen erlöschen.

7. Beginn der Widerrufsfrist

Ob die erweiterte Widerrufsfrist von 1 Jahr und 14 Tagen mittlerweile ebenfalls abgelaufen ist, hängt entscheidend davon ab, wann die Frist begonnen hat zu laufen.

Die Frist beginn bei der Lieferung von digitalen Inhalten mit Vertragsschluss – § 356 II S.2 BGB. Wenn man unter den SVD Token digitale Inhalte versteht, die nicht auf einem körperlichen Datenträger geliefert werden, hätte die Frist mit dem Kauf der Token begonnen und wäre definitiv für alle Teilnehmer 1 Jahr und 14 Tage nach Beendigung des ITS (s. whitepaper, S. 39), also am 23.03.2019 abgelaufen.

Digitale Inhalte sind nicht auf einem körperlichen Datenträger befindlichen Daten, die in digitaler Form hergestellt und bereitgestellt werden — Legaldefinition des § 312f III S.1 BGB.

Nach dem Erwägungsgrund 19 der Richtlinie 2011/83/EU des Europäischen Parlaments und des Rates vom 25. Oktober 2011 über die Rechte der Verbraucher (im Folgenden: Verbraucherrechte-Richtlinie) sowie der Gesetzesbegründung zu § 312 f Abs. 3 BGB (BT-Drucks 17/12637, S. 55) fallen unter digitale Inhalte Daten, die in digitaler Form hergestellt oder bereitgestellt werden, wie etwa Computerprogramme, Anwendungen (Apps), Spiele, Musik, Videos oder Texte – (vgl. LG Karlsruhe, Urteil vom 25. Mai 2016 – 18 O 7/16 ).

Nach dem Wortlaut wären SVD Token als digitale Inhalte zu verstehen.

Nach dem Sinn und Zweck der Vorschrift könnte unter dem Aspekt des Verbraucherschutzes eine teleologische Reduktion des § 356 II S. 2 BGB notwendig sein. Die Vorverlegung des Fristbeginns und die Abbedingbarkeit des Widerrufsrechts gem. § 356 V BGB liegt in der Schutzbedürftigkeit der Unternehmer. Die Rückabwicklung des Widerrufs ist bei digitalen Inhalten idR. nicht möglich, weil nicht verhindert werden kann, dass eine Kopie der Daten immer beim Verbraucher verbleibt. Eine Rückabwicklung des Kauf wäre zu Lasten des Unternehmers nicht möglich. An dieser Schutzbedürftigkeit fehlt es gerade bei einem Token. Die Daten alleine sind nicht von Bedeutung, die entscheidende Komponente ist die Exklusivität. Nur Daten in einer bestimmten Datenbank (Blockchain) sind bei dem jeweiligen Token von Bedeutung. Eine Rückabwicklung ist daher ohne weiteres möglich, der Unternehmer daher nicht schutzwürdig – sehr anschaulich in André Sabellek, Widerrufsrecht beim Kauf virtueller Gegenstände, S. 10f. jedoch zu virtuellen Gegenständen aus Online Games.

Folgt man der teleologischen Reduktion, hätte die Frist erst mit „Lieferung“ der Token begonnen zu laufen. Dies wäre frühestens zu dem Zeitpunkt bei dem die Verbraucher die Token auf ihr Wallet transferieren konnten und darüber informiert worden sind. Es spricht vieles dafür, diesen Zeitpunkt nach dem 31.07.2018 zu legen.

Nach dieser Meinung wäre die Widerrufsfrist zum jetzigen Zeitpunkt noch nicht abgelaufen.

8. Fazit, Handlungsmöglichkeiten

Der savedroid ITS hat viele Fragezeichen zurückgelassen. Eine gründliche Aufarbeitung des Projekts ist unabdingbar.

Aber dennoch sollte man immer die konkreten Erfolgschancen realistisch evaluieren. Weder der savedroid AG noch den Teilnehmern der ICO ist gedient, wenn man sich unüberlegt in ein Klageverfahren stürzt.

Das soll keinen davon abhalten, seinen Widerruf auch jetzt noch zu erklären. Der nächste Schritt sollte aber gut durchdacht sein. Der Klage aufgrund eines nach dem 23.03.2019 eingelegten Widerrufs kann der Richter nur stattgeben, wenn er entgegen dem Wortlaut des Gesetzes das Widerrufsrecht dennoch bejaht. Es gibt hierfür gute Gründe, aber zwingend ist diese Rechtsauffassung nicht.

Für diejenigen, der jetzt in der Sache savedroid mutig den Anfang gemacht und Klage erhoben haben. Ich habe lange überlegt, ob ich diesen Beitrag schreiben soll. Ich habe mich dafür entschieden, dass die Interessen vieler gegenüber dem einzelnen überwiegen. Nach meiner jetzigen Auffassung ist ein/e Klage/Anspruch (nur) aus Widerrufsrecht einfach mit zu viel Risiko verbunden.

Das bedeutet aber noch nicht, dass alles verloren ist. Aber andere Ansprüche sind wahrscheinlich hilfreicher oder sicherer. Darüber hinaus wurdet ihr bestimmt über das Für und Wider, wie oben geschildert, umfassend beraten und aufgeklärt. Eine umfassende Aufklärung ist ja schon zur Vermeidung einer potentiellen Haftung des beauftragten Rechtsanwaltes geboten.

Das Kapitel „savedroid“ ist leider/glücklicherweise noch nicht zu Ende. Es verspricht ein heißer Sommer zu werden.

HELLINGER.legal - Steuern | Recht | Cryptos

von support am 01.07.2019 08:44

Heute möchte ich euch mein neues Projekt „Probao“ vorstellen. Auf Probao teste ich Online-Dienste, die ich selbst für nützlich halte. Dabei schreibe ich auf Probao über meine Erfahrungen mit den einzelnen Diensten und wie man sie am besten nutzt.

Mein Ziel mit Probao ist es Verbrauchern die Möglichkeiten aufzuzeigen, wie man sich das Leben mit Online-Diensten erleichtern kann und dabei auch noch den ein oder anderen Euro sparen kann.

Neben meinen persönlichen Erfahrungen, die ich in den Testberichten sehr ausführlich niederschreibe, findest du auf Probao auch noch Erfahrungsberichte von anderen Nutzern.

Anders als auf so vielen anderen Plattform, können die Nutzer aber nicht irgendwelche Erfahrungsberichte hochladen oder unsachliche Hasstiraden loslassen. Alle veröffentlichten Erfahrungsberichte müssen den Qualitätsstandard von Probao entsprechen.

Das heißt Hassberichte oder übertriebenes Lobeshymnen wirst du in den Erfahrungsberichten nicht finden. Nur Erfahrungsberichte, die einen Mehrwert für dich bieten, werden wir veröffentlichen.

Wenn du selbst Erfahrungen mit Online-Diensten gemacht hast, laden wir dich ein, diese auf Probao zu veröffentlichen. Du kannst jeden Monat eine 50 Euro Amazon-Gutschein gewinnen.

Technische Umsetzung

Die technische Umsetzung basiert wie bei meinen meisten Projekten auf WordPress. Mittlerweile setze ich für Content-Projekt eigentlich immer auf WordPress. Mit WordPress bekommt man einfach die meiste Funktionalität frei Haus.

Durch das riesige Angebot an Plugins kann man mit fast jede Art von Projekt schnell umsetzen. Darüber hinaus ist WordPress schnell und Suchmaschinen-freundlich.

Ich nutze bei Probao folgende Plugins:

• Antispam Bee
• Block Lab
• TinyPNG
• WebP Express
• Simple 301 Redirects
• Table of Contents Plus
• Yoast SEO

Als Theme benutze ich eine Eigenentwicklung, die speziell aus SEO-Gesichtspunkten optimiert ist. So lade ich nur die Javascript– und CSS-Dateien, die ich wirklich will. Mein Ziel ist es so die Ladezeiten deutlich zu verkürzen. Vor allem mobile Nutzer sollen auch komfortabel Probao nutzen können.

Herausforderungen technischer Natur

Wie schon geschrieben, war ein zentrales Ziel die Ladezeiten so weit wie möglich zu verkürzen, um ein gutes Ergebnis beim PageSpeed Insights zu bekommen.

Ferner galt es auch die Testergebnisse auf Probao ordentlich darzustellen und sie gleichzeitig als Microformats mit semantischen Informationen zu versehen, damit Suchmaschinen die Inhalte besser verstehen.

Ein dritter Punkt war die Notwendigkeit schnell und einfach Querverlinkungen zwischen unterschiedlich Erfahrungsberichten herstellen zu können. Die Querverweise sollten optisch ansprechender als einfache Links und mehr Kontext für den Leser darstellen.

Minimierung der Ladezeiten

Um die Ladezeiten so kurz wie möglich zu halten, nutze ich im Großen und Ganzen drei Strategien. Als Allererstes lasse ich Probao bei einem ordentlichen auf WordPress spezialisierten Hostinganbieter laufen.

Dies sorgt schon für die nötigen technischen Einstellungen auf dem Server. Ich muss mich weder um Caching, Komprimierung noch HTTP-Version kümmern.

Darüber hinaus sorge ich mit zwei Plugins dafür, dass Bilder stark komprimiert werden und, wenn der Besucher sie denn auslesen kann, im neuen WebP-Format ausgeliefert werden. Dies erspart meinen Besuchern viele Kilobytes und einiges an Ladezeit.

Die wichtigste Maßnahme ist aus meiner Sicht die Reduzierung der Requests. Auch wenn durch HTTP2 mehrere Downloads gleichzeitig angestoßen werden können, ist das Zusammenfassen von JavaScript und CSS immer noch ein wichtiger Teil der Optimierung.

Üblich ist dafür die Nutzung bestimmter Caching-Plugins, die die Dateien der einzelnen Plugins und von WordPress zu jeweils einer einzigen CSS- und einer einzigen JavaScript-Datei zusammenfassen.

Allerdings hatte ich mit diesem Ansatz bisher einige Probleme. Manchmal wurde dadurch die Darstellung meines Themes verhunzt. Deswegen bin ich einen anderen Weg gegangen:

In meinem WordPress-Theme pflege ich die einzelnen JavaScript- und CSS-Dateien händisch ein. Im Produktivmodus werden diese jeweils in eine Datei zusammengefügt.

So kann ich sicherstellen, welches CSS und JavaScript in meinem Theme benutzt wird und habe trotzdem keine Probleme mit der Darstellung.

Darstellung der Testergebnisse und Microformats

Testergebnis und Microformat aus benutzerdefinierten Feldern.

Eine weitere Herausforderung war die Darstellung der Testergebnisse. Zum einen wollte ich nicht jedes Mal eine Tabelle in das WordPress-Dokument einfügen. Zum anderen sollten die Daten auch als MicroFormat für Google zur Verfügung stehen.

Darüber hinaus gab es auf den Plan, zukünftig die Daten der Testberichte auch an anderer Stelle auf Probao zur Verfügung zu haben.

Aus diesem Grund werden die Testergebnisse nicht direkt im jeweiligen Testbericht gespeichert, sondern als benutzerdefinierte Felder, die jedem WordPress-Dokument zugeordnet werden können.

Das Probao-Theme stellt dann bei Vorhandensein bestimmter benutzerdefinierte Felder die entsprechenden Informationen zum Erfahrungsbericht dar.

The post Probao-Case-Study: nutzerfreundlich, schnell und SEO-optimiert appeared first on Rockiger.

von Marco am 16.05.2019 10:33

Did you know that your fingerprint identity could be used to reveal your identity by analyzing your browsing activity? It is done in either of two ways; through client-side frameworks like Adobe flash player and Javascript or the server.

Fingerprint collection is a popular form of criminal forensic investigation whose results are matched against a database of known personalities to identify a particular person. Browser fingerprinting uses a similar technique to capture the identity of a specific person. An entire collection of browser identification points are matched against the browser’s characteristics of recorded people.

The underlying fact is that both forensic fingerprinting and browser fingerprinting is not capable of showing the real identity of a person but are sure to reveal that a specific person performed certain similar activities.  You can also refer to browser fingerprinting as User User-Agent, Fonts Fingerprinting, canvas fingerprinting and other browser information exposed!

The traditional way of finding out online identity was through surveillance of IP addresses. It follows that the TCP/IP protocol suite used by the internet requires every connection request to be sent with an IP address so that the webserver easily locates where to send the requests.

Virtual Private Networks were born out of the need to conceal real IP addresses and have them replaced with an address borrowed from the VPN. The acquired IP address is shared among a large pool of users hence effectively maintaining online anonymity.

Therefore, internet web-server stores connection logs for the VPN IP address.  However, as with the shifting developments of technology; privacy penetrators noted that it was possible to track other information from a user’s browser apart from the IP address that had the potential to create identity leads.

What’s the Browser data be Collected?

So how is the tracking of surfer identity through unique browser activity even possible?

Much of what a browser sends out to the web server cannot be hidden or cleared. Matching the correlation between a specific user’s browser activity with one particular unique pattern of browser request could quickly reveal the user’s identity even while browsing on a VPN.

Corporates are also prevalent users of browser fingerprinting while identifying various audience segments that are useful for targeted advertising. Some websites also make use of the technique while detecting potential fraud. Such websites would be dating sites or banks.

Browser fingerprinting identifies someone’s unique site identity by analyzing each of the following inputs.

• Encoding header
• Language header
• User-agent header
• Accept header
• Connection header
• Platform
• Plugins list
• Cookie settings
• No/yes tracking of preferences
• Use of session storage
• Use of local storage
• Images rendered with WebGL or HTML canvas element
• Time zone
• Adblock present or not
• List of fonts used

The method is however limited to surfers changing into new browser versions. Therefore testing against a sample of browsing activities can be misleading because the results would test unique.

The record of test samples increases every day with increasing web traffic. Therefore, comparing the samples with shifting developments from old browsers and outdated test results is difficult. Additionally, a test result that would not show a user as unique is also a failed and misleading test. Any user’s test inputs are as unique as the sample size.

As earlier mentioned, fingerprinting can be done in two ways through the server-side collection or client-side collection.

Server Side Collection

Web access server logs can be used to record data sent by a user browser. The logs include data like requested URLs and protocols and requesting user IP address,  user agent string and the referer (SIC).

On the request end, the operating system, IP address and browser details will be included inside the user agent string.

Chrome/5.0 (Windows; Intel Windows 10_12_4) WindowsWebKit/603.1.30 (KHTML, like Gecko) Version/10.1 Chrome/603.1.30

When the user changes into a different browser, the standard Nginx format will be maintained plus all details except for the browser name. Therefore, when a user logs into a connection, it is easy to determine their specific identity.

Since no two requests can come from different persons with the same IP address and the same browser version and operating system, additionally, the web server can be reconfigured to add more information to the browser logs through log format specifiers.

Cookies and type of content request are exchanged between the browser and the webserver. It is such information plus headers that reveal information to the public and places internet users at the risk of browser fingerprinting.

Client-Side Collection

Specific internet sites can reveal important private information of a person from a browser. Adobe flash player and Javascript are technology frameworks that can be used to crawl your browser data.

This method follows that the fingerprinting process takes into consideration the following factors; fonts available, list of plugins, screen resolution, system language, whether the browser accepts cookies and other items listed on the above list of inputs.

The client-side collection is useful in identifying a person who is using a VPN to hide their identity. VPNs make it difficult for intelligence to use the IP address as a favorable identification point. The client-side collection will avail a set of data that could help trace unique user information except for the IP address. Therefore, the client-side browser fingerprinting makes it easier to track identity without the need for an IP address.

Fingerprinting software can collect almost reveal 21 subsets of unique data identifiers. It is not possible for different people to share such a diverse range of data points. Although the law has not enforced any browser fingerprinting, evidence of more than ten identifying data sets can work as a substantial proof for conviction.

Browser Fingerprinting is your online identification

Privacy Techniques that can help you Mitigate Browser Fingerprinting

When individuals find the need to be more private, they opt always to provide less or no private information. But is this a practical solution? Like how would you live holding back your truths in this world of global communication sophistication?

Take for instance the need for Facebook, WhatsApp, emails and a plethora of social sites that demand of you to fill in forms. These forms are meant to request from you certain specific information. Therefore, it means it is impossible to avoid leaving behind browser fingerprints at all.

The only option lies in privacy habits that would make it difficult for your browsing data points to correlate. Doing so means intelligence agencies would not be able to separate your identity from a pool of data sets. Hence, maintaining varying browsing identities.

Some privacy-oriented people might opt for traditional privacy techniques like clearing cookies, disallowing javascript and WebRTC requests. Sadly, we would not recommend these techniques because a handful of people uses them. Your identity would, therefore, end up becoming even more unique than at first.

You should note that internet privacy identifying sites are few online. Take for instance Panopticlick which keeps a record 470,161+ data sets,

Is your browser safe against tracking?

And I am Unique with a record 352, 000+ data sets.

Are you unique?

Note the figures are just meagre reflections of millions of daily internet users whose browsing activities are not sampled.

It therefore means, the amount of data for fingerprinting is minimal compared to the need for privacy surveillance. The data from both sites are only indicative of a measly reflection of the general population of internet users. However, large technology firms like google and facebook that own massive data centers have the potential to amass billions of private user information.

It is a fact that Facebook has a threshold of more than one billion regular visitors who at one point have provided Facebook with their private information. When such substantial data points amassed by the big firms is used to compile browser fingerprinting, the threat to personal privacy becomes real and potentially harmful.

Tips to protect your Online Browser Fingerprinting

How do you protect yourself from all these potential intrusive points to your private data?

If you opt for a unique browser that does not submit your logs, your identity becomes even more unique and clear to trace. On the other side, when you decide to go for traditional browsers, they are insecure and risky. Then what is the best alternative to protect yourself from the privacy dilemma narrative?

Yes!  You can Protect Yourself from Browser Fingerprinting.

Good privacy behavior would entail filtering between your private internet activities and public internet activities. The moment you learn how to dedicate one system for high secretive activities and another for regular activities, that’s the moment you will find yourself protected from risky data miners. You could even go to a larger extent and subscribe to an anonymity tool like Tails or Qubes. That would enable you to step up your private and public activity separation.

The following are tips to help you separate your private activities from your public activities;

• Private internet usage should strictly not access sites that you use for your public internet browsing. For instance, logging into your twitter or facebook from a private connection or Tor browser.
• Private internet usage should be through a different computer system, installed with a working anonymity tool or a Virtual Private Network
• Use two separate VPNs in case you will need a VPN connection. The two VPNs should be for your private and public internet usage respectively.
• Do not reuse usernames, email addresses and account logins that correlate between your private internet life and your public internet life.

Of course, it is possible that surveillance could point out characteristic traits of a unique user on the private internet user but would not be possible to trace that identity to the user’s public identity.

Browser Choice and Tips

The following browsers are essential when it comes to configuring your browsing environment to achieve full internet privacy.

• Tor Browser
• Brave Browser
• Virtual Machines
• Firefox browser

The above browsers require that a user sets up unique customization to help protect their identity. Therefore you should check privacy user guides for browsers that protect you from Browser Fingerprinting. Additionally, you should also opt for a good VPN with strong encryption and the ability to conceal your IP address.

Conclusion

Analyzing unique browser fingerprints is a technology in its development stages. You have an upper-hand in the direction your privacy should take.

An excellent browsing environment, for instance, firefox browsing avails a unique set of privacy features that place your private information under your control. Leveraging the above information with the kind of privacy you wish for will give you an opportunity to mitigate browser fingerprinting.

von Marius am 19.04.2019 14:06

Nachdem wir im dritten Teil unsere Demoanwendung fertiggestellt haben, werden wir nun installierbare Pakete für die unterschiedlichen Plattformen bauen.

Stellvertretend für Linux-Systeme werden wir ein Debian Paket bauen. Für Windows werden wir ein Squirrel-Paket bauen und für Mac OS eine ZIP-Paket.

Wer seine App in die App Stores der jeweiligen Plattform bringen will, kann dies auch mit electron-forge machen.

Die Dokumentation gibt ausführlich Auskunft über die Möglichkeiten, wie man seine Pakete bauen kann und man sie auch gleichzeitig veröffentlichen kann.

Vorbereitung

In der package.json geben wir unserer Demo-App eine ordentliche Beschreibung und legen fest, dass wir für Linux nur ein Debian-Paket erstellen möchten.

Darüber hinaus geben wir Anwendungsdatei einen Namen und definieren den Pfad zum App-Icon.

"description": "Rebuild of the gtk3-demo-application with electron",
...
 "linux": [
    "deb
]
...
"electronPackagerConfig": {
  "packageManager": "yarn",
        "executableName": "electron-react-example",
        "icon": "./icon.svg"
}
...

Da unser Anwendungsname electron im Namen hat müssen wir die Abfrage für den Entwicklungsmodus ein ganz wenig anpassen. In der index.js fragen wir deswegen nicht nur, ob der Fahrt zur Anwendungsdatei electron enthält, sondern das electron ein Unterverzeichnis ist.

const isDevMode = process.execPath.match(/[\\/]electron[\\/]/);

Nun können wir mit unserem Linux-Build anfangen.

Linux-Build

Als Icon für die Anwendung habe ich mir von openclipart.org ein einfaches Icon heruntergeladen. Grundsätzlich reicht uns hierfür jegliche SVG- oder PNG-Datei.

Für den Linux-Build legen wir in der package.json dann unter electronInstallerDebian Werte für das Icon und die Kategorie fest.

...
"electronInstallerDebian": {
        "icon": "./icon.svg",
        "categories": [
          "Utility"
        ],
        "homepage": "https://foo.com"
      },
...

Nun können wir in der Kommandozeile mit electron-forge make unsere Anwendungen bauen. Wenn alles gut gegangen ist findet man unter out/make das Debian-Paket.

Mac OS-Build

Für den Mac-Build habe ich mir in einer virtuellen Maschine das Repo geklont und unser Icon in das icns-format konvertiert.

In der Kommandozeile habe ich dann mit NPM alle Abhängigkeiten installiert und dann wieder mit electron-forge make den Build angestoßen. Mehr war nicht notwendig.

Am Ende sollte eine ZIP-Datei stehen, die eine ausführbare Anwendung enthält.

electron-forge bietet auch die Möglichkeit DMGs für den Mac zu erstellen.

Windows-Build

Als Vorbereitung für den Windows-Build habe ich unser Icon diesmal in eine ico-Datei konvertiert. Dann habe ich wieder mit electron-forge den-Build in einer virtuellen Maschine angestoßen. Mehr ist auch hier nicht nötig.

Grundsätzlich ist es auch möglich electron-Pakete mit Wine zu bauen. Allerdings ist in der aktuellen Version von electron-forge diese Funktionalitäten nicht eingebaut. Wer trotzdem unter Linux Windows-Pakete bauen will, sollte sich das Paket electron-packager einmal anschauen.

Wir haben jetzt mit geringem Aufwand Pakete für alle bekannten Plattformen gebaut. Damit endet unser Tutorial. Ich hoffe ich konnte zeigen, dass Electron mit React eine interessante Alternative ist, wenn man plattformübergreifende Desktop-Applikation bauen möchte. 

electron-react-example für Ubuntu

electron-react-example für Mac OS

electron-react-example für Window

Unsere Anwendung passt sich gut in allen Umgebungen ein, ist mit Web-Technologien umgesetzt und hat keine externen Abhängigkeiten.

Du findest den Source-Code für dieses Tutorial auf Github: https://github.com/rockiger/electron-react-example

Created with Dictandu

The post Cross-plattform Apps mit Electron und React Teil 4 appeared first on Rockiger.

von Marco am 05.04.2019 21:37

BOINC (https://boinc.berkeley.edu) - das heißt Zuarbeit zu wissenschaftlichen Projekten in Form von Rechenleistung durch jedermann. Das ist toll. Und jedermann sollte mithelfen - eine zielgerechtere Spende für einen guten Zweck gibt es kaum. Da unsere Rechner (Computer) weiterhin besser werden, wir für das Browsen von Webseiten oder das Schreiben von Blog Einträgen aber kaum Rechenzeit benötigen und beinahe dauerhaft online sind, liegt diese Rechenkraft also brach. Das ist ärgerlich, denn es werden nicht nur die Rechner besser sondern auch deren Einbindung in die Wissenschaft. Einige Projekte wie die Suche nach Pulsar-Paaren und Gravitationswellen (Einstein@Home) oder ein Design neuer Eiweiße (Rosetta@Home) publizieren in den besten Journalen als Ausdruck wissenschaftlicher Exzellenz und gesellschaftlich herausragender Bedeutung. Das von IBM gesponsorte WorldCommunityGrid mit adoptierten Projekten wie FightAids@Home oder der Identifikation von Erkennungsmechanismen für Krebs weiß auch was es tut.

Es macht aber nicht jeder mit. Zum einen sind die Projekt-Präsentationen überwiegend englisch und spätestens damit außerhalb jedermanns täglicher Routine. Der Verein Rechenkraft.net (www.rechenkraft.net) hilft mit eigenen deutschsprachigen Foren und das Programm „BOINC“ selbst ist mehrsprachig. Etwas mehr Werbung für die Projekte könnte wohl auch nicht schaden. Wenn die eingesammelte Gesamt-Rechenkraft aber auch weiterhin steigt, so sinkt hingegen die Anzahl von Mitwirkenden. Der Grund hierfür liegt gerade auch an der zunehmenden Nutzung energiebewusster Laptops.  Möchte man ein Hochfahren der Lüfter vermeiden, so bietet BOINC an, dessen Rechenlast auf eine tolerierbares Maß zu senken.

Seit Jahren bei BOINC dabei, ärgert einen doch so ein wenig, nicht stattdessen bei den BitCoins mitgemacht zu haben. Nur ist deren Rechenleistung einfach nur Rechenleistung, um zu verhindern, dass ein neuer Coin zu einfach zu erstellen ist. BitCoins verbrauchen Energie ohne irgendetwas für unsere Gesellschaft zu tun. Stattdessen sollte die Rechenleistung doch lieber in BOINC fließen. Und just dieses wurde mit einer anderen Währung, dem Gridcoin, bereits vor bald 5 Jahren umgesetzt. Aus mir nicht ganz erklärlichen Gründen habe ich ihn erst jetzt für mich entdeckt und bin sehr davon angetan. Es ist sozusagen die erste Kryptowährung mit so etwas wie einem moralischen Wert. Selbst wenn sie von heute auf morgen wertlos sein sollte, so hat man bit dem Coin bereits den Gegenwert einer enormen Rechenleistung erhalten, die der Wissenschaft zugute kam.

Die Technik hinter den Gridcoins entspricht weitestgehend den BitCoins. So gibt es auch viele „online Wallets“ (Geldbörse - Programm zur Aufbewahrungsstätten für die Coins) dafür oder auch solche für das Mobiltelefon. So kann mobil bezahlt werden. Ein Transfer wird in wenigen Sekunden angezeigt ist dann binnen wenigen Minuten genügend oft bestätigt. Verschiedene Online-Börsen bieten Gridcoins zum Tausch an, allerdings bislang nur gegen BitCoins, nicht direkt gegen Bares. Ich habe zum Ausprobieren auch schon bei eBay welche gekauft. Klappt. Meine online Börse bei holytransaction.com funktioniert hervorragend. Mit solch einer Börse hat man in etwas alles, was man dann so braucht. Statt via BitCoin zu tauschen - die muss man auch erstmal haben und wir wollen die ja gerade vermeiden - zur Zeit gibt sie auch keiner her - schlage ich vor, bei ebay.de für einen kleineren Test-Betrag welche zu erstehen. Dann hat man schon etwas Gutes getan.

Möchte man selber coins minen, so bietet sich Analog zum Mining von BitCoins bietet ein Zusammenschluss von Minern zu einem Pool wie https://www.grcpool.com an. Dies sorgt für eine tägliche Zuteilung neuer Coins, während man ansonsten je nach zur Verfügung gestellter Rechenleistung einige Tage oder gar Wochen auf die Umsetzung angesparter BOINC-credits auf neue Coins warten muss. Dann gibt es zwar  entsprechend der Wartezeit mehr Coins, aber eben nicht täglich ausgezahlt. Nutzer eines pools müssen keine eigene wallet betreiben. Die online wallet kann als Auszahlungsziel angegeben werden.

Wegen der einfachen Konvertierbarkeit von Gridcoins zu BitCoins ist überall wo BitCoins akzeptiert werden sind, auch der Einkauf mit Gridcoins grundsätzlich möglich. Aber so wirklich ausgeben kann man an sich gerade kaum eine Währung. Man wird sie hierzu erst wieder in reguläres Geld tauschen wollen. Oder sammeln und sich einfach nur an schönen wissenscahftlichen Arbeiten erfreuen. Der Gridcoin ist derzeit einfach sehr günstig zu haben (chart). Oder: Es will ihn keiner. Gut daran: Eine Investition in Gridcoins kann kaum schiefgehen, schließlich kostet er ja jetzt schon nichts ;o) Ihr sollt aber nicht investieren, Ihr sollt für den guten Zweck mitrechnen und dafür den Gridcoin als Nachweis Eurer Rechenarbeit erhalten.

Bei grcpool.com gibt es nette Einführungsvideos. Denen für den Schnell-Einstieg einfach folgen. Nach zwei/drei Tagen sollten die ersten Gridcoins da sein. Die Auszahlung wird wegen der nicht-linearen Mittelung der BOINC-Zuarbeiter erst nach mehreren Tagen oder gar Wochen auf dem Höchststand sein - auch wegen zunächst noch fehlenden Bestätigung der Arbeitpakete. Auf https://www.gridcoin.us ist dies als „Pool Crunching“ beschrieben. Und wer nur einen oder zwei Rechner zur Verfügung stellen möchte, ohne ich weiter kümmern zu wollen, der sollte dies so machen.

Viel Erfolg!

Der Gridcoin ist wie auch der Bitcoin keine zentrale Einrichtung. Implementiert wird er durch den Betrieb einer Gridcoin-Geldbörse bei den ganz normalen Mitmachern. Es gibt ein paar fest verankerte Geldbörsen, mit denen sich Neueinsteiger verbinden. Und die stellen dann andere Mitwirkende vor, die die Neuen dann auch selber kennen und so weiter. Die Geldbörse gibt es als GUI Programm oder als im Hintergrund laufendes Programm für die Kommandozeile. Dieselbe Börse kann mit beiden Programmen verwaltet werden, aber immer nur mit einer der beiden zur selben Zeit. Da der Start des Programms ein wenig Zeit in Anspruch nimmt, ist für mich die Kommandozeile mit einer dauerhaft laufenden Wallet am einfachsten. Ich habe mir gar dazu einen mini-Rechner bei hetzner.de gemietet - sehr entspannend für 3 Euro/Monat - und er verdient auch brav Gridcoins mit.

Gridcoins müssen ständig neu erstellt werden, da ständig neue Rechenzeit investiert wird. Hier liegt ein wesentlicher Unterschied zu Bitcoins, die es nur endlich viele (aber immer noch sehr viele) gibt. Etwas irritierend ist, dass auch die Verwaltung bereits existierender Gridcoins mit einer Art Zins belohnt wird, dh. propotional zum eigenen Vermögen ausgestellte Zusatz-Coins in erwarteter Höhe von etwa einem 1,5%. Habe nicht verstanden, warum das so sein soll. Aber es gibt ein Gridcoin-eigenes demokratisches Abstimm-Verfahren, mit dem dann dies wohl auch abgestellt werden kann. Irgendwann. Hoffentlich.

Hier noch ein paar Dinge, die mich zu meiner Anfangszeit mit meiner eigenen wallet quälten - vielleicht hilft dies dem einen oder anderen Neu-Einsteiger. Die RSA gibt eine „Earliest Payment Time“ (Zeitpunkt frühestmöglicher Auszahlung)  an. Der liegt angeblich im Jahr 2106 - voraussichtlich nach meinem Tod. Und das, obwohl die Magnitude von 19 schon gar nicht mal so schlecht ist.

$ gridcoinresearchd rsa
[
  {
    "RSA Report": "1551915393"
  },
  {
    "CPID": „meinecpid“,
    "Earliest Payment Time": "02-07-2106 06:28:15",
    "Magnitude (Last Superblock)": 19,
    "Research Payments (14 days)": 0,
    "Daily Paid": 0,
    "Expected Earnings (14 days)": 53.2,
    "Expected Earnings (Daily)": 3.8,
    "Fulfillment %": 0,
    "CPID Lifetime Interest Paid": 0,
    "CPID Lifetime Research Paid": 0,
    "CPID Lifetime Magnitude Sum": 0,
    "CPID Lifetime Accuracy": 0,
    "CPID Lifetime Payments Per Day": -0,
    "Last Blockhash Paid": "",
    "Last Block Paid": 0,
    "Tx Count": 0
  },
  {
    "Magnitude Unit (GRC payment per Magnitude per day)": 0.2
  }
]

Das muss irgendein Artefakt sein. Etwas verlässlicher (aber immer noch konservativ) zeigte sich die mininginfo:

$ gridcoinresearchd mininginfo
{
  "blocks": 1535231,
  "stakeweight": {
    "minimum": 4,
    "maximum": 400000,
    "combined": 587644,
    "valuesum": 7345.5877693,
    "legacy": 7345.5877693
  },
  "netstakeweight": 10317152285.82833,
  "netstakingGRCvalue": 128964403.5728542,
  "staking": true,
  "mining-error": "",
  "time-to-stake_days": 26.09003472222222,
  "expectedtime": 2254179,
  "mining-version": 10,
  "mining-created": 0,
  "mining-accepted": 0,
  "mining-kernels-found": 0,
  "InterestPending": 2.40699037584004,
  "kernel-diff-best": 5.320836667567343,
  "kernel-diff-sum": 0.0001562226974061569,
  "difficulty": {
    "proof-of-stake": 6.980298925762844,
    "last-search-interval": 1551915392
  },
  "errors": "",
  "pooledtx": 0,
  "stakeinterest": 0.015,
  "testnet": false,
  "PopularNeuralHash": "54cff7d18277976540595dc72a44c",
  "NeuralPopularity": 15.06493506493507,
  "MyNeuralHash": "",
  "CPID": „meinecpid“,
  "RSAWeight": 100000,
  "Magnitude Unit": 0.2,
  "BoincRewardPending": 37.1120949,
  "MiningInfo 1": "Boinc Mining",
  "MiningInfo 2": "Poll: Fund_Creation_of_HD_Wallet_for_GridCoin",
  "MiningInfo 5": "",
  "MiningInfo 6": "",
  "MiningInfo 7": "",
  "MiningInfo 8": ""
}

Da kann man sehen, dass die „time-to-stake“, d.h. die erste Belohnung für die geleistete Rechenarbeit, bereits in 26 Tagen erwartet wird. Nach der dann kurz darauf erfolgten ersten Auszahlung (nach etwa zwei Wochen?) sah es dann so aus:

$ gridcoinreserachd rsa
[
  {
    "RSA Report": "1552000445"
  },
  {
    "CPID": „meinecpid“,
    "Earliest Payment Time": "03-07-2019 15:24:00",
    "Magnitude (Last Superblock)": 19,
    "Research Payments (14 days)": 39.61,
    "Daily Paid": 2.829285714285714,
    "Expected Earnings (14 days)": 53.2,
    "Expected Earnings (Daily)": 3.8,
    "Fulfillment %": 74.25946756655418,
    "CPID Lifetime Interest Paid": 10,
    "CPID Lifetime Research Paid": 39.61,
    "CPID Lifetime Magnitude Sum": 19,
    "CPID Lifetime Accuracy": 1,
    "CPID Lifetime Payments Per Day": 117.730365681654,
    "Last Blockhash Paid": "85b83f0d9cbbd6d6ed707b7219fcada6374d93943ed4768272243a7cffa914",
    "Last Block Paid": 1535877,
    "Tx Count": 1
  },
  {
    "Magnitude Unit (GRC payment per Magnitude per day)": 0.2
  }
]

Es ist insbesondere die earliest payment time deutlich näher gerückt. Die „Earliest Payment Time“ ist aber weiterhin unrichtig. Ich bekam inzwischen eine zweite Belohnung und das Datum blieb unverändert:

$ gridcoinresearchd mininginfo
{
  "blocks": 1536194,
  "stakeweight": {
    "minimum": 4,
    "maximum": 160000,
    "combined": 262957,
    "valuesum": 3287.00563988,
    "legacy": 3287.00563988
  },
  "netstakeweight": 6612695246.583182,
  "netstakingGRCvalue": 82658690.58228979,
  "staking": true,
  "mining-error": "",
  "time-to-stake_days": 16.62271990740741,
  "expectedtime": 1436203,
  "mining-version": 10,
  "mining-created": 1,
  "mining-accepted": 1,
  "mining-kernels-found": 1,
  "InterestPending": 0.9933265577034762,
  "kernel-diff-best": 0.1074484817591667,
  "kernel-diff-sum": 0.0001421939878357695,
  "difficulty": {
    "proof-of-stake": 7.718779402123279,
    "last-search-interval": 1552000400
  },
  "errors": "",
  "pooledtx": 0,
  "stakeinterest": 0.015,
  "testnet": false,
  "PopularNeuralHash": "",
  "NeuralPopularity": -1,
  "MyNeuralHash": "",
  "CPID": „meinecpid“,
  "RSAWeight": 0,
  "Magnitude Unit": 0.2,
  "BoincRewardPending": 0,
  "MiningInfo 1": "Boinc Mining",
  "MiningInfo 2": "Poll: Fund_Creation_of_HD_Wallet_for_GridCoin",
  "MiningInfo 5": "",
  "MiningInfo 6": "",
  "MiningInfo 7": "",
  "MiningInfo 8": ""
}




Die Gridcoin community ist sich der Unschönheiten bewusst, die ihre Werkzeuge noch haben. Dies soll besser werden.

Meine "Research Payments (14 days)" liegt aktuell bei 74.7. Für diese knappen 75 Gridcoins arbeiten bei mir mehrere Computer, zwei davon auch mit Grafikkarte, also zwei Wochen. Bei eBay kosten 65  Gridcoins ganze 1,55 Euro (EBay findet  „Griechin“ stadt „Gridcoin“, eigentlich lustig). Der Anbieter hat nach eigenen Angaben viele Grafikkarten eingespannt, was ihn sehr leistungsfähig macht, dafür kann er (technisch eingegrenzt) nicht bei allen wissenschaftlichen Fragstellungen mithelfen, jedenfalls nicht denen, die mich besonders interessieren und deswegen kaufe ich auch dort auch nicht regelmäßig. Aber abundan dann eben doch.

Ich selber hatte und habe jedenfalls meinen Spaß mit dieser mir angenehmen Währung. Und so ein cooles „GPU mining rig“ für einen guten Zweck, so wie der bei eBay, das will ich auch haben. Die eine oder andere Einsatzmöglichkeit für die eigene Bioinformatik gibt es für solch eine Technik durchaus - gerade in der Sequenzanalyse oder für das deep learning. Und man lernt mit jedem neuen Werkzeug auch etwas hinzu. Aber nun wird es erstmal Sommer. Das ist dann doch eher etwas für die Wintertage, auch zur besseren Nutzung der Abwärme.

von s (noreply@blogger.com) am 15.03.2019 23:08

Vor längerer Zeit hatte ich das große Vergnügen mich mit den verschiedenen Linux Partitionierungstools zu beschäftigen. Die getestete Auswahl beschränkte sich dabei auf:

• GNU Parted
• fdisk
• gdisk

Ausgangslage

Es wurden die Daten von einer SSD mit 256GB auf eine mit 250GB kopiert, das Dateisystem wurde vorher natürlich entsprechend verkleinert, sodass alle nützlichen Daten auch zur neuen Plattengröße passen.

Kurzfassung:

sudo -i
e2fsck -f /dev/sda3
resize2fs /dev/sda3 200G
dd if=/dev/sda of=/dev/sdb

fdisk

Der erste Versuch war fdisk, dieser ging ordentlich in die Hose. Denn bedingt durch GPT wurde nur eine pseudo Partition erkannt, welche die komplette Platte umfasst.

An dieser Stelle möchte ich erwähnen: Das gute alte fdisk ist mittlerweile ein gefährliches Werkzeug geworden, es kann mit GPT Partitionstabellen die man heute (denkt hier an UEFI) oft vorfindet, nicht richtig umgehen. Wer hier an dem was er damit findet, rumspielt gefährdet somit seine Daten. Je nach fdisk Version kann das Ergebnis hier sehr unterschiedlich ausfallen.

Achtung: Auch cfdisk ist hier keine gute Idee, also Finger weg von Tools, die kein GPT kennen oder damit nicht richtig umgehen können.

parted

Auch parted wollte mit der Kopie der Platte nicht wirklich arbeiten, denn natürlich ging die GPT der alten Platte von einer anderen Plattengröße aus. Das brachte parted, welches ja als Allround Tool konzipiert ist, durcheinander.

gdisk

Das, wenn auch altmodische, da sehr fdisk ähnlich, gdisk macht seinen Job wie gewünscht. Unter Angabe der richtigen Zielplatte aufgerufen hat es sofort erkannt, was Sache ist. Konkret passte die GPT-Größe nicht mehr zur Plattengröße und die letzte Partition ragte etwas über das Ende der Platte hinaus.

Beides konnte gut behoben werden, anschließend die Änderungen speichern und alles ist wieder gut.

Fazit

Wer heute partitioniert, will mindestens parted, da dort zumindest (manchmal auch nur theoretisch) die Chance besteht, eine Partitionstabelle unabhängig vom Typ zu bearbeiten. Es fällt nicht sofort bei GPT auf die Nase und ist dank diverser Frontends recht frustrationsfrei benutzbar. Es lohnt sich bei Problemen mit der Partitionierung auch mal einen Blick auf andere Tools zu riskieren, vor allem wenn einem die Ausgabe komisch vorkommt.

Abgesehen davon warnt parted auch sehr brauchbar vor Partition misalignment, was für die Performance gerade bei SSDs sehr hilfreich ist.

Zuletzt gilt das alte Leitmotto: Das richtige Werkzeug für die richtige Arbeit, wer also GPT verwenden möchte, nimmt dafür auch bevorzugt gdisk, das spart Ärger, Zeit und rettet im Zweifelsfall deine Daten ;)

von encbladexp am 21.02.2019 20:04

Mit dem heutigen Tag ist das, was quasi mal als Zeitvertreib in der Bundeswehr-Stube gestartet war, nun schon siebzehn Jahre durchgängig am laufen. Knapp 1,2 Millionen Beiträge gibt es und fast 39000 Mitglieder, die mal mehr oder minder aktiv das Forum bilden. Das ich debianforum.de nun schon fast zwei Dekaden lang betreiben würde oder es […]

von feltel am 19.12.2018 18:35

In Zukunft wird dieser Blog eine meiner Labor-Anwendungen sein, die ich in meinem privaten Hosting Labor bei Hetzner in Nürnberg selbst hoste. Für ein vernünftiges Hosting-Setup benötigt es natürlich auch einen Loadbalancer. Was läge da näher, als Citrix NetScaler einzusetzen?

Citrix NetScaler VPX Express gibt es außerdem kostenlos.

Welche Einschränkungen gibt es?

• Das Featureset von NetScaler Standard Edition bis auf Gateway Funktionalität (Datasheet hier)
• Maximal 20 MBit/sec Durchsatz
• Maximal 250 SSL Verbindungen

Welche Features gibts?

Hier eine kurze Übersicht aus dem verlinkten Datenblatt.

• L4 load balancing and L7 content switching
• Microsoft SQL, MYSQL
• IPv6 support
• Traffic domains
• Subscriber-aware traffic steering
• Global server load balancing (GSLB)
• Client and server TCP optimizations
• AppCompress
• L4 DoS defenses
• L7 DoS defenses
• L7 rewrite and responder
• Multi-path TCP
• BIC and cubic TCP
• … und vieles mehr (wie ein SSL VPN

Woher und wie?

Citrix NetScaler VPX Express gibt es hier.

Der Support unterschiedlichster Hypervisoren (KVM für Proxmox, VMWare, Xen und Azure/AWS) ist gegeben.

von fh am 12.08.2018 16:14

Wie geht das mit dem Auswandern, Bitcoins und Steuern. Vorgestellt wurden mir untaugliche DIY-Methoden als auch Angebote windige „Helfer“ aus dem Internet. Hier sind böse Überraschung inklusive.

Wie eigentlich immer kennt man die Antwort: Leider geht so etwas nicht so einfach. Für alle nennenswerten Fälle besteht ohne sinnvolle Gestaltung eine nachgelagerte Besteuerung. Man ist daher idR. noch 10 Jahre steuerpflichtig — § 2 I AStG — und muss schlimmsten Fall bis zu 22 Jahre nach der Auswanderung mit einer Strafverfolgung wegen Steuerhinterziehung rechnen — § 376 I iVm. § 25 EStG –.

[TOC]

Kriterien des § 2 AStG zum Auswandern

Die Kriterien des § 2 AStG sind vereinfacht folgende:

• Man ist Deutscher und unbeschränkt steuerpflichtig und
• Man wandert in ein Niedrigsteuerland aus und
• Das „inländisches“ Vermögen beträgt 30% des Gesamtvermögens oder übersteigt 154.000 EUR.

Erfüllt man alle der 3 Kriterien, ist eine nachgelagerte Besteuerung sehr wahrscheinlich.

§ 2 III Nr. 3 AStG verweist hinsichtlich der Abgrenzung von in- bzw. ausländischem Vermögen auf § 34d EStG:

„… Vermögen, dessen Erträge bei unbeschränkter Einkommensteuerpflicht nicht ausländische Einkünfte im Sinne des § 34d des Einkommensteuergesetzes wären, …“

Nach § 34d Nr. 8 b) EStG sind Einkünfte im Falle von Cryptocurrencies „ausländisch„, wenn

… die veräußerten Wirtschaftsgüter in einem ausländischen Staat belegen sind, …
Das ist ein bisschen Zirkelschluss: Ausländisches Vermögen ist Vermögen, welches ausländische Einkünfte erwirtschaftet. Ausländische Einkünfte liegen vor, wenn das Vermögen im Ausland belegen ist. Im Ergebnis stellt sich also die Frage, sind Coins & Co. im Ausland belegen oder nicht.

Häufig wird in diesem und auch anderen Zusammenhängen eingewandt, dass Cryptocurrencies global seinen und demnach überall belegen sein könnten.

Diese Auffassung stimmt. Jedoch ist im deutschen Steuerrecht als Ausland dasjenige Hoheitsgebiet definiert, das nicht zum deutschen Hoheitsgebiet gehört (arg. § 1 Abs. 1 S. 2 EStG), ohne jedoch hoheitsfrei zu sein. ¹

Cryptocurrencies — soweit sie im eigenen Wallet gehalten werden — gehören je nach Auffassung demnach entweder auch zum deutschen Hoheitsgebiet oder sind hoheitsfrei. In beiden Fällen würden keine ausländischen Einkünfte vorliegen und eine inländische Steuerbarkeit vorliegen.

Ob das Vermögen tatsächlich Erträge abwirft, ist unerheblich (Gesetzesformulierung „wäre“), es muss nur dazu in der Lage sein. Dagegen gehören im Privatvermögen befindliche Vermögensgegenstände, mit denen keine laufenden Erträge erwirtschaftet werden (z.B. Kunstgegenstände, Schmuck), nicht zum Vermögen in diesem Sinn. ² Das „erweiterte Inlandsvermögen“ ist auch nicht gleichzusetzen mit dem Inlandsvermögen i.S.d. § 121 BewG, der Umfang des Vermögens ist aber nach dem BewG zu ermitteln. ³

Cryptocurrencies sind Einkünfte oder auch nicht

Cryptocurrencies können regelmäßig zu Einkünften führen — §§ 22 Nr. 2, 23 I Nr. 2 EStG. Dies ist jedoch nur der Fall, wenn Cryptocurrencies binnen Jahresfrist verkauft werden. In allen anderen Fällen handelt es sich nicht um (inländische) steuerfreie Einkünfte, sondern diese Wertzuwächse stellen keine Einkünfte iSd. Steuerrechts dar.

Daher unterfallen Cryptocurrencies, welche länger als ein Jahr gehalten werden, nicht der Wegzugsbesteuerung.

Gestaltungsstrategien

• Der einfachste Weg ist erst nach Ablauf der Jahresfrist in Deutschland auszuwandern.
• Wer dies nicht möchte und auch keine andere Gestaltung anstrebt, sollte die Gewinne einmalig in den Coins in Deutschland realisieren und versteuern.
• Das Deponieren der Token auf einer ausländischen Börse rechtzeitig vor dem Auswandern.
• In seltenen Fällen ist es auch möglich, die Coins steuerneutral in ausländisches Betriebsvermögen zu bringen. Das bringt aber weitere Komplikationen mit sich.
• Ebenfalls kann die konkrete Wahl eines Niedrigsteuerlandes erheblichen Einfluss auf die Wegzugssteuer haben. Es sollte daher überlegt werden, ob z.B. eine Zwischenstation in einem Drittland lohnenswert ist.

HELLINGER.legal - Steuern | Recht | Cryptos

von support am 30.07.2018 13:54