A few things you’ll need to keep in mind when deleting your Yahoo and Flickr account

Yahoo was hacked. Again. This time I left Flickr forever.

If you want to delete your Flickr and Yahoo account, you have to keep a few things in mind:

  • The Yahoo account deletion page will require your current password.
  • If you used the flickr app for 2 Factor Authentication, you’ll need to disable it. Otherwise you cannot use your Yahoo account password to delete the account.
  • If you want to save your pictures from Flickr, go to the camera roll. Select every image you’ll need and then you can select download. There is no need for any special tool.
  • If you delete your flickr account first, you’ll automatically create a new flickr account once you’ve open the flickr page again. But don’t worry, this new account will be deleted automatically once you’ve deleted the Yahoo account.
  • Uninstall all apps on your computers or mobile devices linked to Yahoo.
  • Uninstall any WordPress plugins linking to Flickr.
  • Remove any links to Flickr, e.g. in ifttt.

I’m considering now uploading my pictures to 500px. It is sad to leave Flickr, I always liked the groups and the sheer amount of inspiration and ideas.

How to use client certificates with Synology VPN Server and OpenVPN

The holidays are near and I want to have access to my files on my Synology NAS, while I’m visiting my family. That’s why I’m showing you today how to configure the official Synology VPN server to use OpenVPN with client certificates instead of username/password.

 

1. Start with a custom root CA

First of all you need your own self-signed root CA. A useful tool is XCA but you can also do this from the terminal.

2. Create a certificate for your DiskStation

Create a new Certificate for your DiskStation. Be aware to use the assigned DNS name, otherwise your browser will complain when you try to connect to the web interface of the DiskStation.

3. Configure the DiskStation to use the server certificate

I’m using DSM 5. There’s a nice new Security setting in the system settings. You can define and upload a certificate there:

Import CertificateThe Private Key and Certificate fields are straight forward. However, the intermediate certificate is the tricky part I forgot. This is the certificate of your self signed root CA. Only with this additional certifacte the trust chain is complete.

4. Trusting the root CA

The next step depends on your computers OS. I’m using Mac OS where I can easily add the root CA certificate as an always trusted certificate.

5. Reload the web interface of your DiskStation

After you’ve set the certificate, the web interface should have been reloaded. Eventually you’ve been warned by your browser about a security issue (you did not trusted your root CA, therefore the web page was untrusted). After a reload and the instructions from step 4, this warning should go away. If you take a look at the certificate tab of the DiskStation’s security setting, you will see that your new server certificate is active.

6. Install the VPN Server

Install the VPN Server from Synology’s Package Center. Its configuration is done from the start menu.

7. Configure the VPN Server

Enable OpenVPN from the Settings of the VPN Server. For more details see Synology’s instructions.

8. Connect via SSH to your DiskStation

Disable user authentication on the DiskStation and enable the certificate based authentication (code taken from this wiki) in this file: /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf

 

9. Configure your client

I’m only using iOS devices and Macs. Therefore this is again a little biased 🙂 The installation of the clients for Mac and Windows is explained on Synology’s page. iOS is explained on this page (only in german but with screenshots). The initial configuration can be downloaded from the OpenVPN settings page from the DiskStation web interface. The extracted zip file contains the servers official certificates but needs to be modified to add support for the client certificates. Text is taken again from same wiki as above.

 

The DiffieHellmann Parameters (dh) can also be created with XCA. I would recommend 2048, since 4096 takes ages to generate.

10. Give it a try

Now you can test your VPN connection on your devices. It should not ask for a password, instead it should use the my.crt and my.key you’ve set in the configuration.

Microsoft Windows Phone 7 und der erste Virenscanner

Small update: please use Google Translate for an english version. I still need time to think about a good multilanguage solution for this blog 🙂

Es war nur eine Frage der Zeit, bis der erste Virenscanner für Microsoft Windows Phone 7 erscheint. Gestern war es dann „endlich“ soweit: AVG Mobilation Anti-Virus Free

Nun ist es aber so, dass die App ganz normal vom Microsoft Marketplace geladen werden kann. Was bedeutet das für die App?

Microsoft Windows Phone 7 und der erste Virenscanner weiterlesen

Chrome und die Nullzeichen Zertifikate

Da lese ich gerade bei Heise, das jetzt ein Zertifikat speziell für www.paypal.com angepasst wurde, um Probleme mit der Nullzeichenfilterung in SSL-Zertifikaten zu verdeutlichen. Damit sollen die Entwickler aufgerüttelt werden, endlich etwas gegen diesen Fehler zu unternehmen.

Nun gut, jetzt schreibt der Autor aber, dass in Chrome die zugehörige Überprüfung von Zertifikaten abgeschaltet sein sollte.

In meiner Bachelorarbeit habe ich mich ja auch gerade mit dem Thema beschäftigt und bei mir war diese Option in der aktuellen Chrome 3 Version (also keine Entwickler- oder sonstwie-beta-Version) auch aktiviert. Das habe ich jetzt auf mehreren Rechnern schon testen können. Ich habe jetzt noch mehr Rechner damit mal befüllt und siehe da, die Option scheint echt deaktiviert zu sein ?! fragt sich nur, warum das auf den Rechnern von mir an war oder ich mir da selber das Ergebnis mit einer uralten Installation verfälscht habe 🙁

Was stimmt denn nun? Könnt ihr das auch mal ausprobieren und bei euch nachgucken? Zu finden ist das unter dem Schraubenschlüsselsymbol rechts oben im Browser, dann unter Optionen und anschließend unter Sicherheit muss der Punkt „Sperrung des Zertifikats überprüfen“ gesetzt sein. Die von mir getestete Version ist die aktuelle 3.0.195.25. Im Heise Forum wundern sich über diese Tatsache auch schon einige Leute und für mich wäre das natürlich noch ein Punkt, den ich eventuell beachten müsste.

Zwar schützt diese Option nicht vor erneuten Angriffen mit dem Nullzeichenfehler, aber zumindest verhindert sie bei bekannteren Zertifikaten größeres Unheil, in dem der Nutzer vorher bei Betreten der Seite gewarnt wird.

Google Chrome und die Extended Validation Certificates

Also irgendwas mache ich falsch, oder ich verstehs einfach nur nicht, vielleicht weiß ja einer von euch woran das liegt:

Wieso zeigt der Google Chrome Browser z.B. bei der Online-Banking Seite der Dresdner Bank nicht die Bank in der Adressleiste an? Moderne Webseiten wollen dem Nutzer einfach und schnell einen Überblick geben, ob sie auch wirklich die Seiten sind, die sie sein sollten. Dazu gibt es für SSL Zertifikate eine Erweiterung, die sich Extended Validation nennt. Dabei werden die Webseitenbetreiber/Antragssteller einer genaueren Prüfung als sonst üblich unterstellt und erhalten dann für ihr Zertifikat diese Erweiterung.

Besucht man dann eine Webseite mit dieser Erweiterung, zeigt der Browser einem ein oder mehrere Extrafelder an, dass es sich auch wirklich um den Betreiber dieser Seite handeln soll.

Beim IE 8 sieht das z.B. so aus:

Internet Explorer 8, EVC Meldung dresdner-privat.de
Internet Explorer 8, EVC Meldung dresdner-privat.de

Beim Firefox 3.0.10 sieht das so aus:

Firefox 3.0.10, EVC Meldung dresdner-privat.de
Firefox 3.0.10, EVC Meldung dresdner-privat.de

Auf dem Mac sieht das mit dem Safari 4 Beta so aus:

Safari 4 Beta unter Mac OS X, EVC Meldung dresdner-privat.de
Safari 4 Beta unter Mac OS X, EVC Meldung dresdner-privat.de

Wenn man sich jedoch jetzt den aktuellen Google Chrome unter Windows dann mal anschaut, sehe ich keinerlei! Meldung, die so ähnlich aussehen könnte:

Google Chrome, EVC Meldung dresdner-privat.de
Google Chrome, EVC Meldung dresdner-privat.de

Dass das ganze in Chrome gehen soll, zeigt z.B. die Schweizer Firma QuoVadis in ihrer FAQ.

Also ich verstehs echt nicht, wieso der Chrome das nicht anzeigt? Chrome und IE benutzen z.B. die gleiche Zertifikatsdatenbank, daher sind auch die Meldungen gleich beim Check des Zertifikats. Es handelt sich also nur um die fehlende Darstellung der EVC. Irgendwie erschrickt mich das ganze ja doch schon, ich dachte eigentlich, Google hätte das eingebaut…

Update: Hab den Fehler gefunden: Es liegt doch tatsächlich an der dämlich versteckten Option „Sperrung des Serverzertifikats überprüfen“ in den Einstellungen Chromes. Aktiviert man dieses Kästchen, so wird der EVC Indikator dann auch mit angezeigt.