OSS

Primär ist der Einsatz der kostenlosen Let’s Encrypt Zertifikate für Webseiten vorgesehen. Wie erzeugt man nun aber ein Zertifikat für einen Mail- bzw. IMAP-Server, auf dem vielleicht gar kein Webserver läuft? Auch das ist in wenigen Schritten möglich. Ich verwende hier certbot zur Kommunikation mit Let’s Encrypt, da er für Debian in den Jessie-Backports enthalten ist.

In der Beschreibung hier verwende ich für alle Stellen, an der die Domain des eigenen Mailservers eingetragen werden muss.

Mit dem WordPress-Plugin Cachify steht eine Lösung zur Verfügung, die ein einfaches Zwischenspeichern von dynamisch erzeugten Webseiten bietet. Die Inhalte können mit unterschiedlichen Methoden zwischengespeichert werden. Unterstützt werden APC, Disk, DB und Memcached (nur mit Nginx). Da ich hier Nginx einsetze, bietet sich Memcached als schnellste Variante an. Wie Cachify und Nginx dann zu konfigurieren sind kann im Cachify-Wiki nachgelesen werden.

Die erfolgreiche Konfiguration läßt sich einfach überprüfen: es wird an das Ende der jeweiligen Webseite ein HTML-Kommentar von Cachify eingefügt. Ist dieser im Quelltext der Seite vohanden, dann wurde die Seite aus dem Cache, bei mir also von Nginx/Memcached ausgeliefert.

Knapp zwei Jahren wurde dieses Blog durch HHVM angetrieben. Obwohl die Unterstützung vieler PHP-Funktionen in der Vergangenheit nicht immer zufriedenstellend war, so war die Geschwindigkeit doch immer ein Hauptvorteil von HHVM. Mit zunehmender Serviceanzahl, drängte sich jedoch ein Problem immer mehr in den Vordergrund: viele Dienste benötigen einen Cronjob, welche ebenfalls in PHP realisiert sind. HHVM per CLI ist einfach zu speicherhungrig. Den Speicherhunger kann man schön in folgender Grafik erkennen:

Speziell auf NanoBSD, der auf ALIX-Boards eingesetzten pfSense-Variante schlägt das Update auf die Version 2.3.1_5 über die Verwaltungswebseite und auch über die Shell fehlt. Nach dem Duplizieren des Slice scheint der Updateprozess zu hängen, es dauert sehr lange, bis einfach nur ein “Failed” ausgegeben wird.

Der Updateprozess startet das Update im Slice als chroot-Umgebung. Durch einen Bug ist dort manchmal unter NanoBSD keine resolv.conf vorhanden, welche zum Auflösen von Hostnamen erforderlich ist. Downloads können dann nicht ausgeführt werden. Der Fehler ist mittlerweile bekannt.

Vielleicht kennen einige die sogenannte Löffelsprache, bei der es sich um eine spielerische Modifikation der Sprache handelt. Die Regeln sind einfach: hinter jeden Vokal wird “lef” gesetzt und der Vokal wiederholt (andere Variationen benutzen “lew” oder auch “low”). Diphthonge werden insgesamt behandelt. Hinter sie wird ebenfalls ein “lef” gesetzt und der Diphthong wiederholt. Ein Beispiel: Aus “Jens Tautenhahn” wird “Jelefens Taulefautelefenhalefahn”. Die Vokale und Diphthonge hinter denen “lef” eingefügt wird sind fett markiert.

Bei der Live-Vorschau von neuen Themen in WordPress kann es vorkommen, dass zwar die linke Sidebar für die Themeneinstellungen angezeigt wird, die eigentliche Anzeige aber leer bleibt.

Dieses Verhalten kann folgende Ursache haben:

• das Plugin Widget Logic wird verwendet
• im neuen Vorschau-Theme werden vorhandene Widgets angezeigt
• in den Widget-Logic-Einstellungen dieser Widgets wird eine eigene Funktion aus der functions.php verwendet, welche aber im Vorschau-Theme nicht vorhanden ist

Dadurch tritt ein Fehler auf und die Vorschau wird nicht angezeigt, der Vorschaubereich bleibt leer.

Mit WebRTC und Browsern, die dieses Protokoll implementieren (aktuell Firefox und Chrome) ist es sehr einfach möglich, die IP-Adressen der Besucher zu ermitteln. Kleine Demo gefällig? Bitteschön:

Deine lokalen IP-Adressen:

(Skript funktioniert nicht mehr)

Deine öffentliche IP-Adresse:

(Skript funktioniert nicht mehr)

Deine IPv6-Adressen:

(Skript funktioniert nicht mehr)

Diese Abfrage kann nicht durch Ghostery oder Adblocker verhindert werden. Sie wird ebenfalls ausserhalb der normalen XMLHttpRequest-Prozedur ausgeführt und ist in der Developer-Console von Firefox oder Chrome nicht sichtbar. Das Abschalten von JavaScript hilft, macht jedoch viele Webseiten mittlerweile unbenutzbar.

HHVM ist eine virtuelle Maschine für HipTop, welches PHP-Skripte in Maschinencode übersetzt und anschließend ausführt. Die übersetzten Skripte werden gespeichert und bei wiederholtem Aufrufwerden die bereits übersetzte Programm ausgeführt. Dadurch ergibt sich eine extreme Leistungssteigerung gegenüber der bisher üblichen Methode, PHP-Skripte durch mod_php oder PHP per FastCGI immer wieder neu zu analysieren und auszuführen.

Nach der Umstellung auf Zertifikate von Let’s Encrypt hat sich das Ranking des Blogs in Bezug auf sichere Transportverschlüsselung gegenüber der vorherigen Konfiguration weiter erhöht. Gründe dafür sind der verwendete Signaturalgorithmus SHA256 für den Zertifikatskey und der Einsatz von HSTS.

HSTS kann in Nginx ganz einfach mit einer einzigen Zeile an entsprechender Stelle aktivieren werden:

add_header Strict-Transport-Security max-age=31536000;

Dadurch wird festgelegt, dass der Browser für den angegebenen Zeitraum (hier 31536000 Sekunden = 365 Tage) ausschließlich verschlüsselte Verbindungen mit dieser Domain nutzt. Da diese Einstellung im Browser des Besuchers gespeichert wird, sollte vor der Aktivierung unbedingt getestet werden, ob auf der Webseite auch wirklich nur Ressourcen eingebunden sind, die per HTTPS abgerufen werden können.

Die Telekom stellt bei bei neuen Internetanschlüssen IPv4 und IPv6 im Dualstack-Betrieb bereit. Der Internet-Verkehr läuft komplett über VLAN 7. Entertain, der IPTV-Dienst der Telekom, wird hauptsächlich über VLAN 8 betrieben. Im folgenden Beispiel möchte ich die Konfiguration eines EdgeRouter lite mit IPv4 über PPPOE, IPv6 und IPTV beschreiben.

Meine Konfiguration für die nachfolgenden Beispiele am EdgeRouter:

• EdgeRouter lite Firmware Version 1.7.0
• eth0 … interne Netzwerkschnittstelle (LAN)
• eth1 … externe Netzwerkschnittstelle zum DSL-Modem (WAN)