Da ich nun frischgebackener Wildcard SSL-Zertifikatsbesitzer bin wollte ich dies nun direkt mal mit einigen meinen Seiten ausprobieren.

Als Server nutze ich einen Windows Server 2003R2 und zum servieren der Webseiten den Microsoft IIS (Internet Information Services) 6. Dieser streikt im GUI-Modus allerdings wenn man mehr als eine IP:Port Kombination für gesicherte Verbindungen verwenden möchte. Im Technet habe ich aber glücklicherweise eine Anleitung gefunden, die den Umgang und vor allem die Einrichtung von Wildcard Zertifikaten auf einem Windows Server erklärt.

Im Prinzip ist das relativ simpel: Man öffnet eine neue Eingabenaufforderung auf dem Server (Benutzer muss über Administratorrechte verfügen!) und navigiert in den Ordner C:\Inetpub\AdminScripts. Dort führt man dann den folgenden Befehl aus:

cscript.exe adsutil.vbs set /w3svc/<site identifier>/SecureBindings ":443:<host header>"

Der Platzhalter "<site identifier>” muss durch die ID der jeweiligen Webseite ersetzt werden. Diese wird im IIS in der Webseitenauflistung angezeigt (s. Screenshot).

Für “<host header>” muss die jeweilige Subdomain eingesetzt werden, also zum Beispiel images.devs-on.net wenn das Zertifikat für *.devs-on.net ausgestellt wurde. Und ja, richtig vermutet, dies muss für jede Seite wiederholt werden, die über SSL erreicht werden soll.

Seit dem Release von Stylizer 5 und der dort integrierten Produktaktivierung frage ich mich mal wieder über den Nutzen von solchen Methoden.

Auf der einen Seite steht der Hersteller, der nicht möchte, dass sein Produkt von Leuten verwendet wird, welche nicht über eine entsprechende Lizenz verfügen.
Auf der anderen Seite steht der Kunde der die Software erworben hat und diese zu jeder Zeit und im vollen Umfang nutzen möchte.
Dann gibt es noch eine kleine Gruppe von Leuten, die zu keiner Zeit dazu bereit sind für die Software Geld auszugeben und jede Möglichkeit nutzen die Software auch ohne gültige Lizenz zu betreiben.

Das Ziel des Herstellers ist es nun die letzte Gruppe so klein- und die mittlere Gruppe, die Kunden, so groß wie Möglich zu halten. Bei vielen Herstellern sieht man jedoch bei dem Versuch das gerade erklärte durchzuführen einen Effekt, der sich in die vollkommen andere Richtung entwickelt: Wo der zahlende Kunde noch die Seriennummer eingibt und auf die Gnade des Aktivierungsservers hofft, hat der Raubkopierer schon die Exe ausgetauscht und arbeitet ohne Einschränkungen mit dem entsprechendem Programm.

Als ultimative Sicherungsmethode greifen die Hersteller gerne auf eine Aktivierung über das Internet zurück. Dabei werden i.d.R. die einzelnen Kunden anhand einer Seriennummer identifiziert und diese mitsamt einer oder mehrerer Prüfsummen der Computerhardware (z.B.: MAC-Adresse, Festplatten-ID) auf den Servern des Herstellers gespeichert. Dies soll das mehrfache verwenden der gleichen Seriennummer auf unterschiedlichen Rechnern unterbinden. Im Endeffekt trifft das Onkel Otto der sein Acrobat mit seinem Neffen teilen möchte, jedoch nicht die oben genannte Gruppe von Benutzern die sowieso nicht für die Software zahlen möchten, denn das Aushebeln solch einer Sperre ist nicht mehr oder weniger Aufwändig als das umgehen einer Offlinelösung.

Neben der Notwendigkeit einer Interverbindung birgt solch eine Onlineaktivierung auch noch ganz andere Gefahren, speziell für den Entwickler/Vertrieb. Wer z.B. garantiert dem Käufer, dass es das Unternehmen in 5 Jahren noch gibt und er sein Produkt ordnungsgemäß aktiveren und benutzen kann? Was wenn der Aktivierungsserver nicht erreichbar- und so das Produkt nicht benutzbar ist? Im “besten” Falle verliert man einen Kunden, im schlechtesten Falle ist dem Kunden dabei ein Schaden entstanden und er macht bei dem Vertrieb seine berechtigten Regressansprüche gelten. Wie zu sehen ist, werden mit solch einer Methode dem zahlenden Kunden immer mehr Hürden aufgebürdet bevor er das Produkt benutzen kann wo hingegen der Raubkopierer durchs einfaches Patchen der Anwendung kaum einen Aufwand hat.

Wie würde ich es denn lösen?
Meine Lösung bestünde aus einer Lizenzdatei, in welcher einige persönliche Daten des Lizenzinhabers im Klartext sowie eine RSA Signatur enthalten sind. Diese wird einmalig beim Kauf erstellt und dem Kunden ausgehändigt. Auf Grund der persönlichen Informationen in der Lizenzdatei steigt die Hemmschwelle diese Datei an fremde Leute zu verteilen. Die RSA Signatur schützt vor Manipulation an der Datei, denn ohne den privaten Schlüssel lässt sich keine Signatur erstellen die einer Überprüfung mit dem korrespondierendem öffentlichen Schlüssel in der Anwendung stand hält. Sicherlich lässt sich diese Sicherung auch Aushebeln, aber mit dem gleichen Aufwand der für das Umbiegen der Überprüfung mit dem Onlinedienst notwendig wäre. Nur funktioniert meine Lösung immer und ohne Internet.

Anfangs habe ich auch auf dieser Seite Google Analytics verwendet, um zu überwachen viele Benutzer hier so täglich aufschlagen. Da ich allerdings von Google außer der Suchmaschine nichts weiter verwenden möchte, habe ich mich in der Vergangenheit immer nach einer Alternative umgesehen. Anfang dieses Jahres habe ich dann bei Caschy vom kostenlosen IceRocket Blogtracker gelesen, welchen ich seit dieser Zeit hier teste:

Vom Funktionsumfang her ist alles vorhanden was ich brauche. Ich weiß wieviele Besucher pro Tag Online waren, und woher sie kamen. Die zusätzlichen Optionen, wie welcher Browser- oder welches Betriebssystem eingesetzt wurden sind auch ganz nett.

Problematisch sind solche Lösungen natürlich dann, wenn der Server schwächelt auf welchem der Dienst läuft und damit die Ladezeiten der eigenen Seite darunter leiden, wie es in meiner Testzeit 3-4 Mal sehr extrem vorgekommen ist. Deshalb suche ich schon seit einiger Zeit eine Trackinglösung welche man selber Hosten kann, und welche auf ASP.NET basiert. Theoretisch braucht man da ja nicht mal eine Datenbank oder ein Trackingscript für, man müsste nur die Logs aus dem IIS auswerten und grafisch aufbereiten. Falls jemand solch eine Lösung kennt die nach Möglichkeit wenig bis nichts kostet, dann immer her damit.

Seit gestern Abend gibt es ein Update für den neuen Windows Virtual PC welches es ermöglicht auch auf älteren Systemen den Windows XP Mode benutzen zu können. Bisher musste der Prozessor Hardwarevirtualisierung unterstützen um diesen Modus verwenden zu können.

Der XP-Modus steht allerdings nur Besitzern einer Windows 7 Professional, Enterprise oder Ultimate Lizenz zur Verfügung. Damit ist es möglich Anwendungen virtuell unter Windows XP auszuführen wobei sich die Fenster wie reguläre Anwendungen auf dem Windows 7 Desktop verwalten lassen. Zum Beispiel ein Bild von meinem updateSystem.NET Designer ausgeführt unter XP mit dem Windows 7 Taschenrechner im Vordergrund:

Gedacht ist dieser Modus in erster Linie für Firmen, welche auf Windows 7 umsteigen möchten, aber immer noch Software einsetzen müssen, die nicht mit diesem kompatibel ist.

Alle benötigten Komponenten, also den XP-Modus, Windows Virtual PC und das neue Update, gibt es hier direkt bei Microsoft.

Ich habe grade bei silicon.de einen interessanten Artikel (link) gelesen, welcher beschreibt wie genau sich Benutzer über die vom Browser übermittelten- beziehungsweise via JavaScript abgreifbaren Informationen identifizieren lassen. Die EFF (Electronic Frontier Foundation) hat dazu eine Website mit dem Namen Panopticlick geschaltet, welche einem zeigt welche Informationen der aktuell eingesetzte Browser an die Website freiwillig herausgibt.

Das man beim surfen auf eine Website nicht nur die IP-Adresse sondern auch Betriebssystem, Webbrowser und Monitorauflösung preisgibt ist ja nichts neues mehr. Aber das es zum Beispiel auch möglich ist die installierten Schriftarten abzufragen war auch mir neu. So lässt sich laut dem Artikel ohne Probleme ein individueller Fingerabdruck erstellen der Weltweit maximal 10 Mal vorkommt. Nimmt man dann dazu noch die GEO Daten welche sich aus der IP-Adresse ermitteln lassen, so ist dieser Fingerabdruck nahezu einzigartig.

Alles in allem finde ich das schon sehr bedenklich, da es so ohne weiteres möglich ist sehr genaue und vor allem noch persönlichere Profile über die jeweiligen Internetnutzer zu erstellen. Es ist zwar möglich das auslesen der Daten zu verhindern, dass geht aber nur mit dem Blocken von JavaScript und in der heutigen tollen Web 2.0 Internetwelt mindert das doch gewaltig das Surferlebnis. Und nein, auch die in vielen Browsern enthalte “Private Browsing”-Funktion übermittelt die volle Dosis an Informationen. Da muss wie meiner Meinung nach nochmal nachgebessert werden.

Ich empfehle zu dem den oben verlinkten Artikel zu lesen, dieser gibt das ganze noch detaillierter zurück.

Ich habe mir schon vor einiger mal vorgenommen einen eigenen Jabberserver aufzusetzen, und gestern habe ich es dann endlich geschafft. Ich habe auf meinem Windowsserver den Openfire XMPP Server von Jive Software installiert, was überraschend einfach und ohne nennenswerte Probleme geklappt hat.
Leider habe ich keinen .NET Server gefunden, aber diese auf Java basierende Lösung scheint auch relativ stabil zu laufen.

“Warum überhaupt ein eigener Server?” und “Jabber? Was ist das, dass Ding aus Star Wars?” Diese Fragen bekam/bekomme ich nun des Öfteren zu hören und ich versuche mal darauf ein paar Antworten zu geben.

Die Frage nach dem warum ist nicht so schnell erklärt, aber die Frage nach dem was beantwortet liebend gerne die Wikipedia für mich. Ausschlaggebend für die Verwendung von Jabber ist, dass ich auf kurz oder lang gesehen von dem ICQ Protokoll soweit wie möglich weg möchte. Wer weiß was da alles von AOL mitgeloggt wird, bzw. wie lange AOL noch anderen Clients außer ihrem eigenen unterstützt. Diverse Änderungen am Protokoll haben in der Vergangenheit ja schon öfters dazu geführt, dass ICQ Clients von Drittanbietern kurzzeitig nicht mehr funktioniert haben.

Leider kennen und nutzen viel zu wenig Leute Jabber, was dazu führt, dass ich wohl nie komplett auf ICQ verzichten kann. Deshalb habe ich auf meinem XMPP-Server die ICQ Transports aktiviert, was eine Verwendung des ICQ-Accounts durch den Jabber-Account möglich macht.
Vom Funktionsumfang her ist XMPP übrigens gleichwertig mit den etablierten Protokollen wie MSN oder ICQ, ich denke es liegt hier einfach an fehlender Werbung, dass Jabber bei den normalen Benutzer immer noch so unbekannt ist.
Benutzerfreundliche Clients gibt es inzwischen auch schon die dieses Protokoll unterstützen, was mich jetzt schon zu meiner nächsten Neuerung führt. Ich nutze für IM Gespräche nun nicht mehr Trillian sondern PSI was alle Funktionen von Jabber unterstützt und Dank der Transports kann ich darüber auch mit Leuten via ICQ chatten.

Wer möchte kann übrigens gerne meinen Jabberserver für seinen Account nutzen. Es gibt SSL, einen ICQ und MSN Transport und mein Versprechen, dass zu keiner Zeit Gesprächsdaten mitgelesen oder sogar gespeichert werden.
Damit ich nicht überrannt werde ist die Registrierung momentan nur auf Anfrage möglich. Daher bei Interesse einfach eine E-Mail an mich (Kontaktmöglichkeiten stehen im Impressum).

Update (13:33), um Missverständnisse zu vermeiden: Bei dem angebotenen ICQ und MSN Transport, spielt mein Jabberserver nur die Rolle eines Proxies. Die Nachrichten werden also z.B. vom jeweiligen Jabberaccount -> über meinen Server -> an den AOL ICQ Server -> und dann an den Empfänger übermittelt (und andersrum natürlich). Die versprochene Sicherheit kann also nur gewährleistet werden, wenn beide Jabberaccounts auf meinem Server liegen. Andere Jabberserver wie z.B. dem des CCC kann man denke ich mal auch soweit Vertrauen, dass die keine Daten loggen. Der gegenüber muss also nicht Zwangsläufig bei mir einen Account haben, es erhöht eben nur die Möglichen Schwachstellen wenn man über mehrere Knoten kommuniziert.

Hashwerte sind eine nützliche Erfindung für zum Beispiel das sichere Speichern von Passwörtern oder das Überprüfen der Integrität einer Datei.

Für letzteres habe ich im Internet eine sehr interessante Erweiterung für den Windows Explorer gefunden.

Die Erweiterung nennt sich HashTab und integriert sich in die Dateieigenschaften vom Windows Explorer. So hat man die Hashwerte immer parat und kann sie sehr einfach mit denen des Herstellers zum Beispiel vergleichen. Die “Anwendung” kostet nichts und ist für Windows ab XP und sogar Mac OS verfügbar.

Ok, vermutlich wird das jetzt die wenigsten Interessieren, aber ich habe gestern festgestellt, dass die Firma Red Gate meinen Lieblings Obfuscator {smartassembly} übernommen hat. An sich nichts besonderes, aber lustiger weise hat die gleiche Firma vor etwas mehr als einem Jahr den .NET Reflector von Lutz Roeder übernommen hat. Also quasi die Anwendung gegen die man sich in Erster Linie mit solchen Verschleierungswerkzeugen, wie {smartassembly} eine ist, schützt.

Auf den ersten Blick etwas ironisch aber auf den zweiten relativ Schlau, denn wenn man den Decompiler kontrolliert kann man recht einfach dafür sorgen, dass Assemblies welche mit {smartassembly} geschützt wurden gar nicht mehr im Reflector analysiert werden können, unabhängig davon welche Sicherungsmethode verwendet wurde. Es würde quasi ein einfaches Abfragen des “Powered by {smartassembly}”-Attributes reichen um zu erkennen “STOP! Der Entwickler will dat nich!”. Was natürlich nicht heißt das man den Schutz vernachlässigen sollte, denn der .NET Reflector ist ja nicht das einzige Analysetool für .NET Assemblies. Es gibt z.B. noch den Xenocode Fox Code Analyserwelcher im übrigen genau das macht. Will man damit ein Assembly laden welches mit dem Hauseigenen Obfuscator “PostBuild” verschleiert wurde, verweigert das Tool die Arbeit. Ob das Red Gate jetzt genauso macht ist natürlich rein spekulativ aber ein logischer Schritt wäre es zumindest.

Nun, kostenlose SSL Zertifikate sind eigentlich nichts neues. Man kann sich sogar selber welche Ausstellen oder bei Organisationen wie CACert und Co beantragen. Es gibt nur ein Problem dabei: Das Rootzertifikat welches zum Ausstellen verwendet wurde, muss sich im Zertifikatsspeicher des Betriebssystems und/oder des Browsers befinden, damit das eigentliche Zertifikat als gültig anerkannt wird.

Ist das nicht der Fall, wird der Benutzer im Browser recht eindeutig darauf hingewiesen, dass es ein Problem mit dem Zertifikat gibt:

Sinnlos ist die Meldung natürlich nicht, da man hier in erster Linie vor Webseiten mit betrügerischen Inhalten warnt. Negativ ist aber, dass bis jetzt Zertifikate von Autorisierten Herausgebern wie zum Beispiel von VeriSign oder Thawte nicht grade billig- und für kleinere Softwareautoren nicht erschwinglich sind.

Nun zu dem Punkt auf den ich eigentlich hinaus wollte. Seit dem 26.09. hat Microsoft die in Windows Standardmäßig installierten Rootzertifikate um das der Firma StartCom erweitert welche kostenlos über die Website StartSSL SSL Zertifikate der Klasse 1 Vertreibt. Mit diesen Zertifikaten lassen sich sogar E-Mails und Dokumente signieren.

Neben den kostenlosen Zertifikaten werden dort auch Class 2 und Extended Validation (EV) SSL Zertifikate zu sehr moderaten Preisen angeboten. Für kleinere Unternehmen auch sehr empfehlenswert.

Da ich nun aus einigen Gründen vom Firefox zum Internet Explorer wechsel (Update: Bin nach 4 Stunden IE wieder zum FX zurück, mein lahmer Rechner hat bei mehreren Tabs im IE aufgehört zu funktionieren :-/) gibt es einen Punkt der mir sofort auffällt als ich mit dem IE meine Newsseiten durchforste: “Wat macht die janze Werbung da?”

Dank dem Firefox Addon “AdBlockPlus” habe ich seit Jahren keine Werbung mehr gesehen und war nun mehr als geschockt auf welche Art und Weise manche Newsseiten ihren Content mit Werbung zu pflastern. Mal ehrlich, ich habe nichts dagegen wenn sich Webseiten durch Werbung finanzieren, aber was man bei manchen ertragen muss geht weit über meine persönliche Schmerzgrenze hinaus, und das ist der Grund, warum ich seit einiger Zeit konsequent Werbung blocke (bis auf einige wenige Ausnahmen, bei denen es die Webmaster verstanden haben, dass man auf die Benutzer angewiesen ist und deshalb die Werbung dezent platziert und deutlich als solche zu erkennen ist).

Nun aber zu meinem eigentlichen Problem, einem Adblocker für den Internet Explorer. Bei meiner Suche bin ich auf “Proxomitron”, einen kostenlosen Proxyserver der auch Werbung blocken kann aufmerksam geworden. Die Installation kann einfacher nicht sein. Zuerst geht man auf die Homepage und lädt sich dort das Standard Komplettpaket herunter (link). Danach entpackt man das heruntergeladene Archiv in einem beliebigen Verzeichnis und startet die Proxomitron.exe.

Mehr...