• Your PasswordCard – is a credit card-sized card you keep in your wallet, which lets you pick very secure passwords for all your websites, without having to remember them! You just keep them with you, and even if your wallet does get stolen, the thief will still not know your actual passwords.
• sslh – ssl/ssh multiplexer – lets one accept both HTTPS and SSH connections on the same port. It makes it possible to connect to an SSH server on port 443 (e.g. from inside a corporate firewall) while still serving HTTPS on that port.
• An introduction to git-svn for Subversion/SVK users and deserters – This article is aimed at people who want to contribute to projects which are using Subversion as their code-wiki
• Meerkat – An easy-to-use SSH tunnel manager built specifically for the Mac. Shareware, $19,95…
• Add to Google Reader Safari Extension – captures a click on the RSS button and redirects the feed preview page in Google Reader where the user can subscribe immediately.
• Test: Windows 7 Backup – was es kann und was nicht – So was kann man offenbar nicht auf gewöhnliche Enduser los lassen…
• Little 'ruby' photo organizer – Place this script in a folder full of pictures, run it, and it will organize the pictures into folders by the day they were taken.
• Tarsnap – is a secure online backup service for BSD, Linux, OS X, Solaris, Cygwin, and can probably be compiled on many other UNIX-like operating systems. The Tarsnap client code provides a flexible and powerful command-line interface which can be used directly or via shell scripts.
• Git Extensions – is a toolkit to make working with Git under Windows more intuitive. The shell extension will intergrate in Windows Explorer and presents a nice context menu on files.
• Fraise – is a free text editor for Mac OS X Leopard 10.6 which is both easy to use and powerful. It is designed to neither confuse newcomers nor disappoint advanced users. It should work perfectly for a whole variety of needs – like web programming, script editing, making a to do list and so on..

Wenn man einen Webserver unter Mac OS X betreibt, und ausserdem möchte, dass die gesamte Kommunikation mit diesem verschlüsselt abläuft, wird man sich früher oder später mit dem mod_ssl-Modul des Apache Webservers befassen. Dieses fantastische Stück Software sorgt beispielsweise dafür, dass nicht jeder der im gleichen WLAN sitzt oder sonst irgendwie den Datenverkehr mitschneiden kann, auch die Usernamen, Passwörter oder sonstige interessante Daten frei Haus erhält. In dem oben stehenden Bild ist mein Login über HTTP schön zu sehen¹.

Wie man das ganze unter OS X recht flugs, allerdings auch nicht so richtig geeignet für ein echtes Produktivsystem, hin bekommt wird hier in fünf Schritten beschrieben.

1. Erstellung einer eigenen Certification Authority (CA)
2. Erstellung eines Private Key für den Web Server
3. Erstellung eines Certificate Request für den gerade erstellten Private Key des Webservers
4. Unterschreiben des Certificate Request mit dem Key der CA
5. Anpassen der Apache-Configs

Weiter geht es nach dem Klick…

Erstellung einer eigenen Certification Authority

Man erstellt auf der Konsole in seinem “Dokumente” Verzeichnis einen neuen Ordner und wechselt hinein. So sind die Zertifikate hübsch ordentlich aufgehoben.

cd ~/Documents mkdir certs cd certs

In diesem Verzeichnis wird dann mit dem CA.pl Script eine neue Certification Authority erstellt.

/System/Library/OpenSSL/misc/CA.pl -newca

You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank.

Die folgenden Fragen sollte man so beantworten, dass die Herkunft der CA für Besucher des verschlüsselten Servers erkennbar ist. Bei mir etwa so:

Country Name (2 letter code) [AU]:DE State or Province Name (full name) [Some-State]:NRW Locality Name (eg, city) []:Essen Organization Name (eg, company) [Internet Widgits Pty Ltd]:. Organizational Unit Name (eg, section) []:. Common Name (eg, YOUR name) []:Dennis TestCA Email Address []:dennis@instant-thinking.de

Jetzt existiert in dem certs Verzeichnis eine neue CA in einem eigenen Ordner:

certs/ -- demoCA |-- cacert.pem |-- certs |-- crl |-- index.txt |-- newcerts |-- private |-- cakey.pem `-- serial

Erstellung eines Private Key für den Web Server

Mit dem folgenden openssl Befehl wird nun ein private key für den Webserver erstellt.

openssl genrsa -des3 -out webserver.key 1024

Bei der darauf folgenden Passwortabfrage, sollte man eines wählen, das von dem Passwort der CA abweicht.

Generating RSA private key, 1024 bit long modulus ...................++++++ ................++++++ e is 65537 (0x10001) Enter pass phrase for webserver.key: Verifying - Enter pass phrase for webserver.key:

Aus praktischen Gründen wird jetzt noch ein Schlüssel ohne die Passphrase erstellt:

openssl rsa -in webserver.key -out webserver.nopass.key Enter pass phrase for webserver.key: writing RSA key

Der Schlüssel mit Passphrase ist jetzt webserver.key und der ohne ist webserver.nopass.key.

Diese Übung ist nötig, weil ein Webserver der mit einem Zertifikat mit Passphrase verschlüsselt, diese Passphrase bei jedem Neustart des Servers erwartet. Das würde für einen normalen Mac bedeuten, dass der Start des Systems hängt, da der Apache auf die Eingabe der Passphrase wartet. Man kann den Mac zwar im Verbose-Mode booten und die Eingabe vornehmen, komfortabel ist das aber nicht.

Erstellung eines Certificate Request für den gerade erstellten Private Key des Webservers

Für den gerade erstellten Schlüssel wird nun eine Zertifikatsanforderung² erstellt. Diese wird dann im nächsten Schritt mit dem Schlüssel der CA unterschrieben.

openssl req -config /System/Library/OpenSSL/openssl.cnf -new -key webserver.key -out newreq.pem -days 3650

Bei der folgenden Abfrage ist es wichtig darauf zu achten, dass bei “Common Name (eg, YOUR name)” der wirkliche Name des Servers eingetragen wird, unter dem er auch später erreichbar sein soll. Bei einem Test auf dem lokalen System wäre das z.B. “localhost” oder “127.0.0.1″. Bei einem Test in einem lokalen Netz ohne Namensauflösung z.B. “192.168.1.6″ und bei einem System das unter einem DNS-Namen erreichbar ist eben dieser. Wenn hier nicht der exakt passende Name des Servers steht wird es später zu Zertifikatsfehlern kommen, YMMV.

Die Extra Attribute “challenge password” und “company name” können leer gelassen werden.

Enter pass phrase for webserver.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value,

Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:

Damit wurde die Zertifikatsanforderung newreq.pem erstellt.

Unterschreiben des Certificate Request mit dem Key der CA

Mit dem folgenden Befehl wird das Unterschreiben der Zertifikatsanforderung angestossen:

/System/Library/OpenSSL/misc/CA.pl -signreq

Using configuration from /opt/local/etc/openssl/openssl.cnf Enter pass phrase for ./demoCA/private/cakey.pem: Check that the request matches the signature Signature ok Certificate Details: Serial Number: b4:cd:0a:12:5b:00:5b:2b Validity Not Before: Aug 25 21:19:04 2009 GMT Not After : Aug 25 21:19:04 2010 GMT Subject: countryName = DE stateOrProvinceName = NRW localityName = Essen commonName = meineadresse.de emailAddress = dennis@instant-thinking.de X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL Generated Certificate X509v3 Subject Key Identifier: 08:F3:5C:D2:0D:96:3E:2F:53:DA:EF:9D:34:73:B2:16:77:83:94:E0 X509v3 Authority Key Identifier: keyid:01:54:22:97:39:C2:41:2D:17:48:41:6D:BB:A1:C7:F0:B3:88:B4:4F

1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated Signed certificate is in newcert.pem

Damit ist das Zertifikat newcert.pem erstellt. Jetzt ist es eine gute Idee ein weiteres Verzeichnis mit dem Namen des Servers zu erstellen und alle für ihn erstellten Dateien hinein zu bewegen.

mkdir meineadresse.de mv webserver.key webserver.nopass.key newreq.pem newcert.pem meineadresse.de/

Das ganze schaut dann etwa so aus:

certs/ |-- demoCA | |-- cacert.pem | |-- certs | |-- crl | |-- index.txt | |-- index.txt.attr | |-- index.txt.old | |-- newcerts | | -- B4CD0A125B005B2B.pem | |-- private | |-- cakey.pem | |-- serial | -- serial.old-- meineadresse.de |-- newcert.pem |-- newreq.pem |-- webserver.key `-- webserver.nopass.key

Anpassen der Apache-Configs

Als letztes wird der Apache-Server für verschlüsselte Verbindungen konfiguriert. Dazu wird zunächst in der Datei /etc/apache2/httpd.conf die Datei httpd-ssl.conf inkludiert in der dann die restlichen Einträge vorgenommen werden. Die passende Zeile ist bereits vorhanden³ und muss nur auskommentiert⁴ werden.

Das Ergebnis sollte so aussehen:

Include /private/etc/apache2/extra/httpd-ssl.conf

In der Datei /etc/apache2/extra/httpd-ssl.conf müssen nun die folgenden Variablen auf die vorhin erstellten Dateien inklusive dem vollen Pfad zeigen:

SSLCertificateFile "/Users/dennis/Documents/certs/meineadresse.de/newcert.pem" SSLCertificateKeyFile "/Users/dennis/Documents/certs/meineadresse.de/meineadresse.de.nopass.key" SSLCACertificateFile "/Users/dennis/Documents/certs/demoCA/cacert.pem" SSLCARevocationPath "/Users/dennis/Documents/certs/demoCA/crl"

Man kann hier auch das DocumentRoot auf einen anderen Pfad als die nicht verschlüsselten Inhalte setzen wenn man das möchte. Das kann dann z.B. so ausschauen:

DocumentRoot "/Users/dennis/Sites/SSL"

Jetzt kann man den Apache mit sudo apachectl graceful neu starten und sollte dann unter https://localhost⁵ eine verschlüsselte HTTP-Verbindung herstellen können.

Usernamen und Passwörter die oben noch im Klartext zu lesen waren sehen für potentielle Mitlauscher nun nur noch so aus:

Und das ist eine gute Sache.

Wenn man ein solches System produktiv einsetzen möchte, sollte man zu allermindestens die CA auf einen anderen Computer auslagern. Noch besser⁶ wäre es, sich sein Zertifikat von einer richtigen CA unterschreiben zu lassen. Dann müsste man auch nicht mehr mit der unvermeidlichen Fehlermeldung leben, dass das Zertifikat von einer unbekannten CA ausgestellt wurde…

Natürlich kann man für seinen Browser eine passende Ausnahme konfigurieren, für einen Produktivserver ist so etwas aber nicht hinnehmbar.

(via: Apple & macosxhints.com)

1. Und nein, mein Passwort ist üblicherweise nicht “test123″
2. gültig für 10 Jahre
3. in meiner Installation war es die Zeile 473
4. Also die Raute “#” vor der Zeile löschen
5. bzw. der jeweiligen Adresse
6. aber auch mit Kosten verbunden

Wenn man nämlich auf dem iPhone einen IMAP-Account einrichtet dessen sichere Kommunikation auf einem selbst signierten Zertifikat beruht passiert folgendes:

Das iPhone öffnet eine sichere Verbindung¹ zu dem IMAP-Server auf Port 993². Dann stellt es fest, dass das Zertifikat nicht bekannt ist und fragt nach, ob man wirklich mit diesem Server reden will.

Das will man natürlich und das iPhone will wieder über eine sichere Verbindung mit dem IMAP-Server reden. Aber dieses mal auf Port 143…

Das, werte verbliebene Leserschaft die immer noch diese exotischen Begriffe in sich aufsaugt, ist ein recht großes und schwer zu erkennendes Problem wenn man nur Port 993 auf dem IMAP-Server geöffnet hat.

Nach der Entdeckung des Problems ist die Lösung dann sehr einfach:

Für die Ersteinrichtung öffnet man den Port 143³ einfach und im Anschluss daran kann man auch, oh Wunder, in den erweiterten Einstellungen auf dem iPhone den Port 993 als zu verwendenden IMAP-Port konfigurieren.

Warum es diese Funktionalität nicht auch schon bei der Ersteinrichtung über einen “Erweitert”-Button gibt ist mir utterly unexplainable, aber jetzt läufts halt.

(Lösung via: Wireshark und Artur Hefczyc)

1. sehr gut
2. nicht so gut wie wir später sehen werden
3. natürlich mit aktiviertem TLS

• PixelStick – is a tool for measuring distances and angles on the screen.
• Backblaze – Unlimited encrypted online-backup for Mac OS X and Windows. 5 $ per Computer, can use your own private key. Interesting…
• ExifTool – is a platform-independent Perl library plus a command-line application for reading, writing and editing meta information in image, audio and video files.
• 10 Steps To Protect The Admin Area In WordPress – Good tips, easy to apply…
• LaTeX auf dem Mac – Digitales Grundrauschen #12 – 2 Stunden Podcast über LaTeX, Seite mit tollen Links zum Thema…

• scalr – is a fully redundant, self-curing and self-scaling hosting environment utilizing Amazon’s EC2
• Sicher twittern mit Twitterific – Wie man Twitterific auf https umstellt.
• Localize Bookmarklet – a slim bookmarklet that enables mapping, geocoding and geotagging directly in your Flickr photo page. It works with all common browsers without the need for any extension.
• Borkweb Apache Rewrite Cheatsheet –
• HostsWidget – Allows you to manipulate your /etc/hosts file quickly and easily.
• WordPress Flickr Manager – Handles uploading, modifying images on Flickr, and insertion into posts.
• Piwik – aims to be an open source alternative to Google Analytics. It gives interesting reports on your website visitors, your popular pages, the search engines keywords they used, the language they speak…
• SMSRotateD – is a demonstration application that triggers screen rotation based on the orientation data it retrieves from the Sudden Motion Sensor (SMS) built into newer Apple notebook models

• Purre – Play iPhoto movies in FrontRow
• Wörterbücher – Kostenloser deutscher Thesaurus und ein Deutsch-Englisch Wörterbüch für das Mac OS Lexikon
• Step by Step: Configuring SSL Under Apache –
• Developing Rails Applications on Mac OS X Leopard –
• ExpanDrive – Seems like an extended Version of sshFS… Shareware, 29$.
• SING – stands for Send ICMP Nasty Garbage. It is a tool that sends ICMP packets fully customized from command line.
• Tunnelblick – is a simple graphical user interface for the great VPN software OpenVPN 2.0 and higher
• wicd – is an open source wired and wireless network manager for Linux which aims to provide a simple interface to connect to networks with a wide variety of settings
• Libra – Freeware Library Software for Windows
• If Version Control Systems were Airlines –
• SmartSleep – is a preference pane that dynamically sets the sleep state of your machine.
• gitnub – Git kicking it OS X style. Still many exciting nibbles to be implemented!
• Scrivener – is a word processor and project management tool created specifically for writers of long texts such as novels and research papers. Shareware, 39,95 $

Vor kurzer Zeit hatte meine Schwester mir eine Mail geschickt in der eine msg-Datei als Anhang enthalten war. Offenbar kommt sowas manchmal vor wenn Outlook nicht so richtig mit dem Senden der Mail klar kam.

Wie auch immer, da lag diese Mail vor mir und ich habe die msg-Datei dann mit einem Editor geöffnet und nach dem Anhang Ausschau gehalten. Das schaut ungefähr so aus¹:

Content-Transfer-Encoding: base64

SGFsbG8gQmVybmQgT3N0ZW5kb3JmZiEKCkhlcnpsaWNoIHdpbG xrb21tZW4gYmVpIFNoYXJld2Fy ZSFkZSAtIHVuZCB2aWVsZW4gRGFuayBmdWVyIElocmUgQW5tZW xkdW5nIQoKTWl0IGRlbiBmb2xn ZW5kZW4gRGF0ZW4gaGFiZW4gU2llIFp1Z2FuZyB6dXIgU2hhcm V3YXJl

…

Das war dann allerdings noch deutlich länger. Den ganzen Kram habe ich dann in eine neue Textdatei kopiert und bin der dann mit OpenSSL zu Leibe gerückt:

openssl base64 -d -in infile -out outfile Das macht aus dem kodierten infile die fertige doc-Datei²

Um den umgekehrten Weg zu gehen, also eine Datei in base64 zu kodieren benutzt man:

openssl base64 -e -in infile -out outfile Aber üblicherweise machen das Mailprogramme heutzutage automatisch… Ist halt nur gut zu wissen falls mal was schief geht.

(via: Mac OS X Things)

Update:

Ich habe nach Rüdigers Kommentar bei dem zweiten openssl Aufruf -e hinzugefügt um Verwirrungen auszuschliessen. Nötig ist es nicht, macht die Sache aber klarer…

1. Ich habe die Original-Mail mittlerweile gelöscht, daher ist das hier nur ein Beispiel
2. oder was auch immer da angehangen wurde, hier eben eine Word-Datei

Hört sich sehr Web 2.0 mäßig an, ist aber in der Tat in den 90er Jahren des letzten Jahrhunderts in Browser¹ eingebaut worden und findet sich auch heute z.B. im Firefox 2.0 und Apples Safari. Ob der IE auch noch diese Möglichkeit in sich trägt weiss ich nicht und es ist mir auch egal.

Der Post von Dr. Nic erklärt das alles sehr schön und man fragt sich ernsthaft warum wir uns im Jahr 2008 immer noch mit der User/Password Kombination rumschlagen wenn es so bequeme Möglichkeiten gibt. Jetzt müsste man das nur noch mit GPG kombinieren können…

Client Side Certificates FTW!

1. Netscape, IE 3.0