Via SSL auf Selfoss zugreifen

Seit ein paar Monaten nutze ich ja zum Lesen meiner RSS-Feeds die Software Selfoss, die ich auf einem Webspace selbst hoste. Ich bin damit sehr zufrieden und habe von überall Zugriff auf meine Feeds und da der Zugriff immer über den Browser erfolgt, auch keine Probleme, das ganze synchron zu halten. Ein kleines Manko ist, dass es für das Smartphone keine App gibt, aber eine sehr gute mobile Browseransicht erfüllt hier auch ihren Zweck.

Da die Installation auf einem öffentlichen Server läuft, habe ich den Zugang mit einem Passwort geschützt und damit das beim Eingeben nicht im Klartext durchs Netz wandert, habe ich jetzt den Zugriff über das SSL-Protokoll realisiert. Ein kleines Problem dabei war, dass man nach der Anmeldung das Protokoll nicht mehr wechseln darf (was wohl an dem PHP-Sessioncockie liegt). Hat man sich also via HTTPS eingeloggt muss der weitere Zugriff auf die Daten auch darüber erfolgen, sonst funktioniert der Zugriff nicht mehr richtig. Also musste ich zuerst sicherstellen, dass der Zugriff immer über HTTPS erfolgt. Da Selfoss eine eigene .htaccess-Datei mitbringt, habe ich diese wie folgt ergänzt:

RewriteEngine On
RewriteBase /selfoss

# https verwenden
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Danach trat das nächste Problem auf, dass nämlich  die Feeds nicht mehr aktualisiert wurden. Das erledigt bei Selfoss die Datei update.php, die ich einfach in regelmäßigen Abständen mittels Cronjob mit wget abrufe:

wget --quiet --delete-after http://domain.tld/selfoss/update

Da dieser Aufruf durch die .htaccess nun auch auf die HTTPS-Seite umgeleitet wird, musste ich den wget noch um einen Parameter ergänzen:

wget --no-check-certificate --quiet --delete-after https://domain.tld/selfoss/update

Der zusätzliche Parameter bewirkt, das wget das SSL-Zertifikat der Zielseite nicht überprüft. Wenn man es ganz genau machen will, kann man das Zertifikat noch lokal speichern und die Datei dann wget als Parameter mitgeben, aber wir wollen mal nicht so streng sein. :-)

Damit funktioniert mein Selfoss nun komplett über https und niemand kann mehr einfach mitlesen, was ich so lese. :-D

Messenger und Datenschutz

Im Moment regen sich ja alle über Whatsapp und den Verkauf an Facebook auf. Datenschützer schlagen Alarm und manche Nutzer steigen auf "sichere" Messenger um.

Einen Aspekt beleuchten die meisten Artikel nicht und der ist aus meiner Sicht ganz entscheidend:

Jeder meiner Bekannten kann meine Adresse und meine Kontaktdaten auf seinem Handy, seinem Computer oder sonstwo in der Cloud speichern. Wenn ich in meinem Bekanntenkreis schaue, nutzen eigentlich fast alle Whatsapp. Ich bin mir relativ sicher, dass ein Großteil davon zumindest meine Handynummer im Adressbuch des Handys hat. Also sind meine Daten sowieso schon bei Whatsapp oder in der Google-Cloud oder sonstwo gelandet, oder? Genauso macht es Facebook und die meisten anderen Social Networks, wenn ich mein Adressbuch nach Leuten durchsuchen lasse, die dort angemeldet sind. Ich kann nicht wissen, ob die Daten, die da hochgeladen werden, wirklich nur zum Durchsuchen des Verzeichnisses genutzt werden oder ob sie nicht doch für "später" aufgehoben werden.

Wie seht ihr das? Macht es Sinn, selbst seine Daten nur vertrauenswürdigen Diensten zur Verfügung zu stellen, oder hat das sowieso keinen Sinn, wenn der ganze Rest sein komplettes Adressbuch (inklusive meiner Daten) unverschlüsselt durch das Internet bläst?

Serendipity 1.7.7 erschienen

Heute gab es ein Doppel-Release der von mir hier benutzten Blog-Software Serendipity. Nachdem die veröffentlichte Version 1.7.6 einen Bug hatte, wurde noch schnelle die 1.7.7 nachgeschoben.

Die neue Version behebt Fehler und schließt einige Sicherheitslücken. Einzelheiten könnt ihr im Release-Artikel auf dem S9Y-Blog nachlesen.

Die Installation war wie immer problemlos, einfach die runtergeladenen Dateien rüberkopiert, Blog einmal aufrufen und fertig. :-)