Da zur Zeit einige Spammer denken, sie müssten rund 2.000 Accounts pro Tag bei uns registrieren, wurde soeben die In-Band-Account-Registrierung deaktiviert. Wer einen neuen Account haben möchte, melde sich bitte per E-Mail bei uns.

Sobald unsere Administratoren andere sinnvolle Gegenmaßnahmen ausgerollt haben, wird die In-Band-Account-Registrierung wieder freigeschaltet. Wie immer warten wir voller Spannung auf E-Mails mit Kommentaren oder Kritik. –nico

Mittlerweile ist das System auf dem Rechner, auf dem unser XMPP-Server läuft, aktualisiert und mehrmals neu gestartet worden. Gerade eben gab es eine weitere kurze Unterbrechung des XMPP-Server-Betriebs, da auch für den XMPP-Server ein Update auf das aktuelle System vorgenommen wurde, hauptsächlich aus Stabilitäts- und Sicherheitsgründen.

Bei der Gelegenheit wurde auch gleich noch ein Unsicherheits-Patch eingespielt: Unser XMPP-Server akzeptiert jetzt die meisten Varianten von abgelaufenen, falsch formatierten, verwirrenden, kaputten und wahnsinnig schlechten Sicherheitszertifikaten anderer XMPP-Server. Der Grund für diese Umstellung ist, dass die meisten Zertifikate, die andere Server unserem Server innerhalb des letzten Monats vorgewiesen haben, unbenutzbar kaputt waren, und unsere Administratoren einfach nicht damit nachkommen, alle anderen Server-Administratoren zu bekehren. Unsere Benutzer sollen aber in der Zwischenzeit keine allzu großen Diensteinschränkungen hinnehmen müssen. Resultat unserer Änderung ist die Vernetzung mit mehr Servern als zuvor.

PROBIERT DAS NICHT ZU HAUSE! Das ist gefährlich.

Obwohl jetzt vermutlich schon der große Aufschrei kommt, setzen wir sogar noch eins drauf: Seit gestern am späten Nachmittag akzeptiert unser Server auch beinahe alle bekannten Arten von SSL- bzw. TLS-Kommunikation mit anderen Servern. Auch total unsicher verschlüsselte, gänzlich unverschlüsselte oder solche ohne Authentifizierung der Gegenstelle.

PROBIERT AUCH DAS NICHT ZU HAUSE! Fragt lieber eure Eltern oder Lehrerlokalen Sicherheitsexperten, ob sie euch die Theorie dahinter erklären.

So. Jetzt noch der ganz wichtige Teil für euch: Direkte Verbindungen von Clients (also in aller Regel von Software bei euch) zu unserem Server sind nach wie vor sicher. Sogar sehr (siehe frühere News). Verbindungen zwischen unserem XMPP-Server und anderen Servern verwenden mittlerweile ein anderes Paar kryptografischer Schlüssel als Verbindungen zwischen unserem XMPP-Server und Benutzern. Bei Kompromittierung des Client-zu-Server-Verbindungs-Schlüssels sind eure vergangenen Chats immer noch geheim. Diebstahl des Server-zu-Server-Verbindungs-Schlüssels legt alle vergangenen Kommunikationsvorgänge zwischen unserem XMPP-Server und fast allen anderen XMPP-Servern offen.

Darum solltet ihr nach wie vor alle Verbindungen zu anderen Servern (also folglich auch zu Benutzer-Accounts auf anderen Servern) als nicht-geheim und nicht-authentifiziert betrachten. Wir legen euch sehr ans Herz, Ende-zu-Ende-Maßnahmen wie OTR einzusetzen.

Wie immer freuen wir uns über E-Mails mit Kommentaren oder Kritik. –nico