Datum: 2013-06-23
ABC-klubbens nyhetsbrev 2013/4 ***Ny, driftsäker teknik*** När detta läses håller sysoparna som bäst på att installera en modern NAS, alltså en nätansluten filserver. Klubben har införskaffat en NAS-maskin av towermodell med kapacitet för fyra diskar, något som kommer hjälpa mot senaste tidens driftstörningar i den gamla NAS:en. På senaste tiden har den gamla NAS:en ibland fått startas om en till två gånger per dag. För att vara mer precis är NAS:en av märket QNAP TS-469 och har utrustats med fyra stycken 3 TB-diskar som kan bytas ut under drift. Hur mycket av detta som kommer medlemmarna till godo beror på vilken RAID-variant vi väljer att använda oss av. Men räkna med att få mer filutrymme jämfört med i dag. ***Lagring av e-post*** Med större lagringsutrymmen till allas förfogande är sysoparna tacksamma om vi inte låter all inkommande e-post ligga kvar i inboxarna. Utnyttja istället möjligheten att via IMAP skapa kataloger för sortering av inboxens innehåll i separata foldrar i ditt hembibliotek om du prompt vill ha kvar breven hos klubben istället för att förvara dem hemma i din egen dator. En tidigare kampanj föranleddes av att disken som vår e-postserver använde den gången hade utnyttjats till 95 procent. Då uppmärksammade flera medlemmar sysoparnas begäran på rensning, så just den akuta krisen är överspelad. Låt oss aldrig mer behöva uppleva att post studsar på grund av en fylld disk. Hjälp till, så hjälper du alla! ***Uppföljning och debatt*** Förra numret av redaktionens arbete drog till sig reaktioner. Därför lät vi denna gång göra en uppföljare där vi ställer debatten till allas förfogande för granskning; den har tidigare endast cirkulerat inom funktionärernas kretsar. Konkret handlar saken om råden rörande klubbens hantering av certifikatet till vår webbplats. Därför bör man läsa detta nummer parallellt med det förra. Vi kan också varmt rekommendera artikeln "Säker kan ingen vara" av Ola Sigurdson i nummer 6/2013 av tidskriften Datormagazin. Är ett egenverifierat certifikat att lita på? Varför lär vi ut hur man lurar de säkerhetssystem i webbläsarna som ska skydda mot falska certifikat? Namnen på dem som deltog i debatten har redaktionen maskerat; medan åsikterna är intressanta, har vi inte ansett att identiteten på personerna är det. Innan du går vidare bör du lägga på minnet att replikerna i debatten markerats genom en rad med asterisker där repliken börjar, och en lika lång rad med plustecken där den slutar. Redaktionens inskjutna kommentarer inleds med orden "Redaktionens kommentar" inom hakparenteser. Det började med några meningar som skickades till adressen red@abc.se. ************************************************* Fattar ni inte vad ni gör? Varför inte bara köra utan certifikat istället? +++++++++++++++++++++++++++++++++++++++++++++++++ [Redaktionens kommentar] Efter betänketid tog redaktionen kontakt och bad den upprörde om att utveckla saken. Och det gjorde han. ************************************************* Vad är poängen med att ha certifikat på sin webbplats, förutom att trafiken blir krypterad? Jo, att man vet att man hamnat rätt. Om webbläsaren visar en grön ikon kan man vara säker (nåja) på att man hamnat rätt. Är hela sidan blodigt röd med stor varningstext har man hamnat fel. Texten i nyhetsbrevet instruerade ABC-klubbens medlemmar ... att surfa in på https://webmail.abc.se, få upp alla varningar om att man inte kan lita på att man hamnat rätt. Ladda hem certifikatet från sidan (som man inte vet om det är den rätta sidan). Spara certifikatet (som man inte vet om det är det rätta) permanent i sin dator. Nästa gång man går in på sidan är allt frid och fröjd. OK, så det är bara vid ett tillfälle (per webbläsare och dator) personen som gör detta utsätts för risken för Man-in-the-middle attack. Sannolikheten att det händer är väl inte särskilt stor tänkte ni. "Vi kan ta den chansen." Jag tycker aldrig man ska ta den chansen. (Vem vet vilket nätverk[1] som används?) Men åter till nyhetsbrevet och instruktionerna. Vilket trick. Ni har nu lärt ut hur man blir av det hemska och jobbiga felmeddelandet. Det händer ju att man stöter på det då och då. Så då kan man ju använda sig av tricket och bli av med varningen, tänker folk. Det är det här jag har ett problem med. Ni lär ut ett felaktigt och farligt beteende. Bättre instruktioner hade varit hur man tar fram certifikatets fingeravtryck och att man ska jämföra med det som står på https://www.abc.se/. Men jag har helt ärligt ingen som helst förståelse för att klubben inte köper riktiga certifikat till webmail.abc.se, webkom.abc.se och imap.abc.se. En medlemsavgift skulle täcka kostnaderna... (nej, man måste inte köpa från Thawte). [1]: http://www.troyhunt.com/2013/04/your-mac-iphone-or-ipad-may-have-left.html?m=1 +++++++++++++++++++++++++++++++++++++++++++++++++ [Redaktionens kommentar] Vår medarbetare som låg bakom instruktionen funderade och skrev tillbaka. ************************************************* [Han har] rätt i sina synpunkter, synd att han inte lyfte upp det helt i första brevet. Jag tänkte över saken när jag skrev grunden till instruktionen. ... tyckte det var enormt jobbigt med varningsblaffan som är mer komplex att hantera i Chrome än i Firefox/Opera/Internet Explorer, där det är lättare att tillåta. Detta parallellt med ett tidskrävande fall ... Det vill säga, jag såg nog inte till hela konsekvenskedjan, utan ville bara bli av med ett akut problem. Vi visste ju vem som hade gjort certet, att det var att lita på. Så [han] har helt rätt, vi borde lösa detta ordentligt. ... jag frågade i sysop-gruppen om riktigt cert innan jag skrev grunden för instruktionen. Det stora felet vi gjorde i instruktionen, var att inte tydligt peka på «GE SJUTTON I OCH GÖRA SÅ MOT ANDRA WEB-sites, GÄLLER BARA för ABC:s webbmail» eller något i den stilen. +++++++++++++++++++++++++++++++++++++++++++++++++ [Redaktionens kommentar] Efter det här följde några turer fram och tillbaka, varpå en annan av våra sysopar tog till orda. Bland annat om den lilla komplikationen att det påbörjade arbetet med en rejäl förnyelse av klubbens maskinpark (se inledningen av detta nummer) troligen leder till att de tjänster vi i dag erbjuder medlemmarna kommer delas upp på fler datorer än vad som är fallet i dag; det kan innebära att ABC:are i framtiden måste hantera än fler certifikat. Var någonstans drar man alltså gränsen mellan det som ska anses lämpligt att lita på respektive INTE lita på? ************************************************* Minst två CAs [engelsk förkortning för någon som utfärdar (och garanterar) certifikat] har erkänt att de blivit hackade och att falska certs har skapats. Det finns säkert ett stort mörkertal här och de farliga aktörerna har säkert haft riktiga certs för allt under himmel och jord redan (Windows Update t.ex.). D.v.s. alla som litar på de CA-certs de får med i sin browser till att börja med är egentligen blåsta. ... [En medlem] brukar fixa certs genom cacert.org för mail.abc.se vilket egentligen är den bästa mittimellan-lösningen tycker jag. Problemet där är att man måste springa omkring och skaffa fysisk trust för sin gpg-nyckel och det orkade bara [medlemmen] fixa och nu har han ... mindre tid. Jag har inget emot självsignerade certs men signaturerna borde publiceras på t.ex. https://www.abc.se vilket väl redan görs? Jag verifierade siggen mot det som publicerades i ABCKOM så jag vet inte. Sen borde vi ha ett eget root CA-cert som vi använder för att skapa alla server certs så att folk bara behöver importera ett cert EN gång. Det tar inte lång tid att fixa men [en annan medlem] har säkert en anledning till varför han inte gjorde det. +++++++++++++++++++++++++++++++++++++++++++++++++ [Redaktionens kommentar] Så vad göra? Betala (dyrt) för att få ett eget certifikat verifierat, eller kanske försöka garantera äktheten på ett sådant helt själva? Debatten fortsatte med intresserade inlägg. ************************************************* Ahh, undrade just, förklarar en hel del. Kan se lite på det, kanske kan ordna en sådan fysisk nyckeltrust. Behöver få mer praktik kring sådant, har en alltför teoretisk bakgrund. Så med lite tips och råd, kan jag se även på denna del. +++++++++++++++++++++++++++++++++++++++++++++++++ [Redaktionens kommentar] Rådet och responsen på det kom snabbt! ************************************************* [Råd] I OpenSSL-suiten följer det med ett script som heter CA.sh som fixar biffen: https://www.openssl.org/docs/apps/CA.pl.html [Respons] Laddade ner TinyCA, en grafisk variant av ditt tips, mycket enkelt att managera cert i. Synd att det inte går att köpa starka signerade rootcert som man själv hanterar dotter-certen till och som läsarna därmed accepterar. Skulle i och för sig ta bort marknaden för CA:s, men hade varit snyggt! +++++++++++++++++++++++++++++++++++++++++++++++++ [Redaktionens kommentar] Därefter återknöt debatten till hur certifikaten för vår kommande, helt nya, maskinpark bäst bör hanteras. ************************************************* Ett 5-servers wildcard-cert är i och för sig lite dyrare, men skulle ge oss full flexibilitet att flytta runt vid behov, t.ex. ett kan sparas till special-event. Har för mig att Thawte och ett par andra har haft rätt prisvärda sådana sista åren, körde ett 15-servers-cert till [min dåvarande arbetsgivare]. Men då jag köpte via en outsourcingleverantör i ett större paket, kommer jag inte längre ihåg vad vi betalade, men det kan ha varit ca 1 000 à 1 500 per certifikat. +++++++++++++++++++++++++++++++++++++++++++++++++ [Redaktionens kommentar] För att avrunda för den här gången låter vi samme medlem som initierade debatten också få fälla de avslutande orden. ************************************************* Mmm, systemet med CAs har brister. För HTTPS finns en del saker* för att motverka en del av bristerna. En del kan man göra som administratör, en del som användare. Förhoppningsvis dröjer det bara cirka 10 år tills vi har certifikaten i (säker) DNS. (Kallas DANE om någon är intresserad) Men okej, det kan finnas en poäng i att ABC-klubben inte stödjer det trasiga CA-systemet - ta ställning helt enkelt, men 1) enligt mig bidrar vi då till att trasa till CA-systemet ännu mer, ett system vi trots ser ut att behöva leva med en tid framöver 2) det krävs en hel del förklarande för användare. * http://www.imperialviolet.org/2011/05/04/pinning.html http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security http://convergence.io/ +++++++++++++++++++++++++++++++++++++++++++++++++ [Redaktionens kommentar] Gjorde vi rätt? Gjorde vi fel? Frågan är levande och det här är ett sätt att visa hur det kan se ut emellanåt. Katalysatorn för att sätta igång tankarna kan alltså vara protester av det konstruktiva slaget. Med detta tar redaktionen sommaruppehåll. Vi återkommer nog lagom till att löven på träden antagit gula och röda färger. Som vanligt fastslår vi inget om vare sig publiceringsdatum eller utgivningstakt på förhand. Det som sker, sker! Nu till något annat. En av redaktionens medlemmar, som hyser ett starkt intresse för filmkonsten, stötte för ett tag sedan på en intervju med den fransk-schweiziske regissören Jean-Luc Godard (ett namn starkt förknippat med «nya vågen» på 60-talet) som ännu, i 80-årsåldern, är yrkesaktiv. Den franska tidskriften Les Inrockuptibles frågade honom om upphovsrätt apropå innehållet i hans då senaste verk. Godard - med mängder av filmer bakom sig - svarade: "Det finns ingen intellektuell äganderätt. Jag är mot arvsrätten, till exempel. Att en konstnärs barn ska ärva sina föräldrars rättigheter, i alla fall som myndiga. Varför ska Ravels vuxna barn ärva rätten till Boléro ... Man borde inte kunna äga rätten till ett konstverk. ... Den här känslan av att man äger rätten till ett konstverk kom senare. I dag kan nån lysa upp Eiffeltornet och få betalt för det, men om man filmar Eiffeltornet måste man ge honom ännu mer pengar. Fråga: Den näst sista meningen i filmen är 'Om lagen är orättvis, måste rättvisan gå före lagen...' Det handlar om upphovsrätten. Alla dvd-er börjar med text från FBI som kriminaliserar kopiering. Jag gick till Pascal. Men man kan förstå frasen på andra sätt." Sagt av regissören som på 80-talet gjorde en film där alla repliker var citat från andra filmer! Redaktionen red@abc.se artikel@abc.se