Januar 2015
Hier finden Sie Nachrichten und Einträge aus dem Januar 2015, die sich einmal als News direkt auf der Homepage befunden haben.
14. Januar 2015: Bei heise Security bin ich heute über einen Bericht zu einem spannenden Werkzeug gestolpert: SSLyze, ein sehr umfangreicher und leistungsfähiger SSL-Scanner für die Kommandozeile. Die vorhandenen Tests beschränken sich, wie bei diversen anderen Werkzeugen, nicht nur auf HTTPS, sondern können auch für andere SSL-basierte Dienste wie IMAP-SSL verwendet werden. Neben gängigen Standardprüfungen wie die unterstützten Protokollversionen von SSL/TLS oder Cipher Suites, können sogar die Trust-Stores von Apple, Google, Microsoft und Mozilla mit Hilfe von catt heruntergeladen und als Grundlage für Prüfungen verwendet werden. So toll das Werkzeug auch ist, es dürfte vermutlich sehr schwer sein es für Linux-Distributionen zu paketieren, da es idealerweise mit OpenSSL statisch gelinkt wird und unter Umständen eine neuere Version benötigt als die jeweilige Linux-Distribution ausliefert. Die Mindestvoraussetzung von Python 2.7 schränkt die Möglichkeit der in Frage kommenden Linux-Distributionen leider noch weiter ein. Etwas seltsam: Das zugrunde liegende nassl warnt vor dem produktiven Einsatz und vor Fehlern bei der Überprüfung von SSL-Zertifikaten.
27. Januar 2015: Im Community-Forum von Zarafa wurde am 16. Januar 2015 ein Thread dazu eröffnet, Pro-Linux hat am 26. Januar 2015 darüber berichtet und auf Heise ist es seit heute zu finden: Zarafa stellt die Unterstützung von Microsoft Outlook und EWS zum 31. März 2016 ein. Hintergrund dafür ist wohl ein Strategiewechsel um nicht Microsoft hinterher zu programmieren sondern um die Zukunft aktiv mitzugestalten. Grundsätzlich sehe ich die Zukunft ebenfalls im Web, allerdings wundere ich mich sehr warum dafür die Outlook-Unterstützung schon jetzt auf der Strecke bleibt - zumal die Outlook-Unterstützung meines Erachtens das maßgebliche Verkaufsargument für Zarafa gewesen sein müsste. Die würdige Nachfolge soll die Zarafa WebApp antreten, allerdings sehe ich das zum aktuellen Zeitpunkt eher kritisch: Es gibt Benutzer die Outlook zwingend benötigen, da es durch Plugins für CRM, DMS, CTI oder einfach nur mit S/MIME mit und Kartenlesegerät zu einer "Middleware" gemacht wird. Ein richtiger Offline-Modus (für 10 oder gar 20 GB E-Mails) dürfte selbst mit HTML5 und localStorage nicht realisierbar sein, Caching sucht man in der WebApp derzeit sowieso vergebens. Das fehlende responsive Webdesign für die Nutzung auf mobilen Geräten zeigt zudem, dass es sich bei der Zarafa WebApp bislang leider um keine richtige "App" handelt...
28. Januar 2015: Gestern Abend hat Zarafa die WebApp 2.0 als finale Version veröffentlicht. Bei den Neuerungen seit der WebApp 1.6 werden ein neuer HTML-Editor (ein Update von TinyMCE), verbesserte Unterstützung für Plugins und ein Plugin für Dateihandling (basierend auf SabreDAV) angeführt. Weitere Plugins sind wohl in Entwicklung, allerdings findet diese nicht öffentlich statt - was zu einer Open-Source-Software meines Erachtens eher nicht passt. Ich kann verstehen und nachvollziehen, dass man die Spannung aufrecht erhalten möchte, aber sollte der aktuelle Slogan "Zarafa is not only a product...we are a community" auf der Zarafa-Webseite nicht für eine aktive und offene Einbindung der Community stehen? Andererseits ist die WebApp 2.0 meines Erachtens nicht fertig, so fehlt z.B. weiterhin die Möglichkeit für Themes (die es im älteren bzw. abgekündigten WebAccess gibt). Ein weiterer Wermutstropfen: Die Zarafa WebApp 2.0 ist für die von mir im August 2014 entdeckten Schwachstellen CVE-2014-5447 und CVE-2014-5449 verwundbar; immerhin wurde die Schwachstelle CVE-2014-9465 jetzt geschlossen.
31. Januar 2015: Vor einigen Minuten habe ich mein schon seit einiger Zeit vorbereitetes Security Advisory 2014-0011 mit dem Titel "SSLv3 limit in Zarafa Outlook Client" veröffentlicht. Am 2. April 2014 habe ich im Rahmen von Tests zu meinem Patch für den Zarafa-Server um SSL-/TLS-Einstellungen wie Protokoll-Version und Cipher Suite konfigurierbar zu machen entdeckt, dass der proprietäre Zarafa Outlook Client, der für die MAPI-basierte Anbindung von Microsoft Outlook an Zarafa verwendet wird, ausschließlich SSLv3-Verbindungen unterstützt und Zarafa als Hersteller darüber informiert - das war übrigens noch lange vor Bekanntwerden der SSLv3-Schwachstelle POODLE. Mit dem ersten Beta-Release von Zarafa 7.2 (Anfang Dezember 2014) ist nun die lang geplante Änderung in den Zarafa Outlook Client eingeflossen und inzwischen wird auch TLSv1.0 als Transportverschlüsselung unterstützt.