jabber.ulm.ccc.de

Umstellung auf neue Software

22.08.2014 - 23:53 Uhr

Am Abend des 24.8.2014 wird der Jabber-Server auf eine neue Software umgestellt. Es ist mit mehr oder weniger kurzen Ausfallzeiten zu rechnen. Kommunikation über Port 5223 wird ab dann nicht mehr möglich sein, verschlüsselte Kommunikation kann und sollte über Port 5222 per STARTTLS initiiert werden.

Account-Registrierung vorübergehend abgeschaltet

17.11.2011 - 23:37 Uhr

Da zur Zeit einige Spammer denken, sie müssten rund 2.000 Accounts pro Tag bei uns registrieren, wurde soeben die In-Band-Account-Registrierung deaktiviert. Wer einen neuen Account haben möchte, melde sich bitte per E-Mail bei uns.

Sobald unsere Administratoren andere sinnvolle Gegenmaßnahmen ausgerollt haben, wird die In-Band-Account-Registrierung wieder freigeschaltet. Wie immer warten wir voller Spannung auf E-Mails mit Kommentaren oder Kritik. –nico

Geplante Downtime

04.04.2011 - 20:07 Uhr

Morgen (Dienstag, den 2011-04-05) Abend wird unser Jabber-Server auf Grund von Wartungsarbeiten an dem Rechner, auf dem er läuft, vorübergehend nicht erreichbar sein. Die erwartete Downtime beträgt etwa 10 Minuten innerhalb des Zeitfensters von 19 bis 23 Uhr MESZ (+02:00). –nico

Software-Upgrade und Sicherheits-Downgrade

18.02.2011 - 3:33 Uhr

Mittlerweile ist das System auf dem Rechner, auf dem unser XMPP-Server läuft, aktualisiert und mehrmals neu gestartet worden. Gerade eben gab es eine weitere kurze Unterbrechung des XMPP-Server-Betriebs, da auch für den XMPP-Server ein Update auf das aktuelle System vorgenommen wurde, hauptsächlich aus Stabilitäts- und Sicherheitsgründen.

Bei der Gelegenheit wurde auch gleich noch ein Unsicherheits-Patch eingespielt: Unser XMPP-Server akzeptiert jetzt die meisten Varianten von abgelaufenen, falsch formatierten, verwirrenden, kaputten und wahnsinnig schlechten Sicherheitszertifikaten anderer XMPP-Server. Der Grund für diese Umstellung ist, dass die meisten Zertifikate, die andere Server unserem Server innerhalb des letzten Monats vorgewiesen haben, unbenutzbar kaputt waren, und unsere Administratoren einfach nicht damit nachkommen, alle anderen Server-Administratoren zu bekehren. Unsere Benutzer sollen aber in der Zwischenzeit keine allzu großen Diensteinschränkungen hinnehmen müssen. Resultat unserer Änderung ist die Vernetzung mit mehr Servern als zuvor.

PROBIERT DAS NICHT ZU HAUSE! Das ist gefährlich.

Obwohl jetzt vermutlich schon der große Aufschrei kommt, setzen wir sogar noch eins drauf: Seit gestern am späten Nachmittag akzeptiert unser Server auch beinahe alle bekannten Arten von SSL- bzw. TLS-Kommunikation mit anderen Servern. Auch total unsicher verschlüsselte, gänzlich unverschlüsselte oder solche ohne Authentifizierung der Gegenstelle.

PROBIERT AUCH DAS NICHT ZU HAUSE! Fragt lieber eure ~~Eltern oder Lehrer~~lokalen Sicherheitsexperten, ob sie euch die Theorie dahinter erklären.

So. Jetzt noch der ganz wichtige Teil für euch: Direkte Verbindungen von Clients (also in aller Regel von Software bei euch) zu unserem Server sind nach wie vor sicher. Sogar sehr (siehe frühere News). Verbindungen zwischen unserem XMPP-Server und anderen Servern verwenden mittlerweile ein anderes Paar kryptografischer Schlüssel als Verbindungen zwischen unserem XMPP-Server und Benutzern. Bei Kompromittierung des Client-zu-Server-Verbindungs-Schlüssels sind eure vergangenen Chats immer noch geheim. Diebstahl des Server-zu-Server-Verbindungs-Schlüssels legt alle vergangenen Kommunikationsvorgänge zwischen unserem XMPP-Server und fast allen anderen XMPP-Servern offen.

Darum solltet ihr nach wie vor alle Verbindungen zu anderen Servern (also folglich auch zu Benutzer-Accounts auf anderen Servern) als nicht-geheim und nicht-authentifiziert betrachten. Wir legen euch sehr ans Herz, Ende-zu-Ende-Maßnahmen wie OTR einzusetzen.

Wie immer freuen wir uns über E-Mails mit Kommentaren oder Kritik. –nico

Geplante Server-Downtime

09.02.2011 - 4:09 Uhr

In den nächsten Tagen wird das Betriebssystem auf dem Rechner, auf dem unser XMPP-Server läuft, geupdatet werden. In diesem Rahmen wird es zu einer vorübergehenden Unterbrechung unseres XMPP-Dienstes kommen. Im Moment können wir weder sagen, wann genau das passieren wird, noch, wie lange es dauern wird. Es ist wahrscheinlich, dass wir die Downtime nutzen werden, um gleich auch noch weitere Patches für den XMPP-Server einzuspielen und/oder die Konfiguration zu optimieren. –nico

Verschlüsselte Verbindungen werden bald Zwang

09.02.2011 - 4:08 Uhr

Um unseren Benutzern noch bessere Sicherheit zu bieten, werden wir Bald™ die Verwendung von Verschlüsselung (TLS oder STARTTLS) bei (Client-)Verbindungen zu unserem Server erzwingen. Das ist schon seit Jahren angedacht und sollte kein Problem sein, da quasi alle Benutzer in letzter Zeit über eine verschlüsselte Verbindung online sind; gute XMPP-Clients kommunizieren bevorzugt mit aktivierter Verschlüsselung.

Welche Verfahren sicher sind und welche nicht, legen wir fest. Zur Zeit empfehlen wir allen unseren Benutzern, TLS_DHE_RSA_WITH_AES_256_CBC_SHA und/oder TLS_DHE_RSA_WITH_AES_128_CBC_SHA zu akzeptieren. (Alle uns bekannten Clients, die es unterstützen, tun das automatisch, also keine Panik, falls das gerade zu kompliziert klang.) Manche Clients sind leider kaputt oder extrem veraltet, entsprechende Meldungen leiten wir gerne an die Entwickler weiter.

Weitere, noch tollere Verfahren werden Voraussichtlich™ noch Später™ aktiviert werden. (Wer allerdings noch kein TLS in Version 1.2 kann, muss sowieso erst mal sein System auf den seit August 2008 aktuellen Stand bringen.) Wer meint, er müsse uns da dringend Beine machen, soll sich bitte per XMPP-Nachricht oder E-Mail bei uns melden.

Benutzern von Miranda IM empfehlen wir das SSLPL-Plugin, welches unter anderem die von uns empfohlenen Algorithmen verfügbar macht. Inoffizielle Kompilate sind bei uns verfügbar, wir geben aber keine Garantie für irgendwas.

Zu der Angelegenheit wird es voraussichtlich auch noch eine serverweite Nachricht bzw. eine Meldung beim Einloggen geben. Leute, die sich beschweren oder mit uns über die Thematik diskutieren möchten, sollen sich nicht scheuen, uns zu kontaktieren, wir freuen uns immer über Rückmeldungen oder Kritik. –nico

Zertifikat ersetzt

30.12.2010 - 23:11 Uhr

Noch pünktlicher als sonst haben wir heute das für (START)TLS verwendete Zertifikat des Jabber-Servers ersetzt. Wer jetzt irritiert ist, findet hoffentlich in unserem Howto schnell Hilfe. Sinnvolle Kommentare werden wie üblich gerne entgegengenommen und eventuell auch bearbeitet. –nico

Server-Update

11.10.2010 - 18:38 Uhr

Wie viele Benutzer in letzter Zeit gemerkt haben, läuft unser Jabber-Server nicht mehr so stabil wie früher. Deshalb wird er Demnächst™ einmal ein größeres Update durchmachen. Dadurch kann es in den Nächsten Tagen™ (also irgendwann zwischen jetzt und in den nächsten paar Monaten) zu längeren Ausfällen kommen, während der Server gewartet wird. Wer sich darüber aufregen möchte (oder einen lieben Kommentar hinterlassen oder eine Frage stellen), darf an unsere Mail-Adresse schreiben, wo die E-Mail dann fachkundig auf Halde gelegt, gelesen, beantwortet und/oder ignoriert werden wird. –nico

Transports

09.02.2007 - 23:36 Uhr

Ich hab heute mal den Yahoo-Transport neu aufgesetzt. Testet mal ob der jetzt vernuenftig laeuft, sonst mails an jabber@ulm.ccc.de. Kann evtl. sein, dass die alten Spoolfiles den Umzug nicht ueberstanden haben - notfalls mal neu registrieren. Den MSN-Transport hat eh kaum wer genutzt - daher bleibt der erstmal noch deaktiviert.

Aktueller Stand

16.01.2007 - 17:05 Uhr

Der MUC funktioniert, die beiden Transporter weigern sich noch beharrlich. Mal schauen was sich da tun laesst.Uebrigens: Es gibt momentan ein Anmeldeproblem bei uns. Psi schickt emailadresse und name-Tag nicht mit, die unser Jabberserver aber als erforderlich ansieht. Ich werde den Jabberserver im Laufe des Tages mal restarten, dann sollte sich das Problem geben.

neuer jabberd

14.01.2007 - 4:38 Uhr

Ok, der neue jabberserver laeuft jetzt. Die transports + der MUC sind aber erstmal down, da kuemmer ich mich morgen drum.Gute Nacht!

Update

14.01.2007 - 3:20 Uhr

Wir updaten jetzt gleich auf die aktuellste jabberd-Version. Sollte aber kurze Zeit spaeter wieder funktionieren.

Unerwartete Verlaengerung

02.10.2006 - 21:07 Uhr

Es gab leider weitere Probleme mit der Hardware, darum war der Server bis quasi jetzt down. Tut uns wirklich sehr leid, wir hoffen dass das nichtmehr passiert. Nun sollte jedenfalls alles erstmal wieder laufen.

Scheduled Downtime

27.09.2006 - 7:01 Uhr

Da unser Server neue Festplatten verpasst bekommt, wird er vorraussichtlich ab 14 Uhr nichtmehr erreichbar sein. Also nicht wundern ;-)

SSL-Probleme

04.07.2006 - 12:47 Uhr

Scheinbar hat sich das Problem von selber behoben - der Server laeuft seit dem Ausfall stabil.

Update:
Okay, hoffentlich das letzte Wort zum SSL. Der c2s vom Jabberd scheint das nicht gebacken zu bekommen und das Problem hat wohl auch nirgendwer anders. Darum sind wir jetzt auf den jadc2s umgestiegen, hoffe das laeuft jetzt stable.

Probleme mit SSL

27.06.2006 - 0:16 Uhr

Momentan macht der SSL-Login Probleme. Wir arbeiten dran, solange non-ssl (und GPG wenn moeglich ;-)) verwenden, ich announce es hier, wenns wieder problemlos laeuft.

Update:
Ich hab den Jabberserver gestern mal im Debugmodus gestartet - jetzt tritt der Fehler nichtmehr auf. Murphys Law. Ihr koennt daher SSL wieder verwenden - und wenns ploetzlich nichtmehr klappen sollte, liegts wahrscheinlich am SSL Fehler und ihr muesst ohne SSL online gehen.

Downtime

07.06.2006 - 13:21 Uhr

So, der Server war grad ca 5 Minuten down, ich hab naemlich den jabberd mal geupdated ( auf jabberd14-1.5.0-alpha-20060522). Viel Spasz damit ;-)

Jabber Registration Timeout

10.05.2006 - 18:18 Uhr

Wir haben eben einen kleinen Patch fuer den jabberd 1.4.4 geschrieben, der verhindert, dass eine gerade freigewordene JID sofort wieder benutzt werden kann. Falls ihr euren eigenen Jabberserver aufsetzen wollt und das Feature so toll findet wie wir: Den Patch gibts hier.

neues Zertifikat

09.05.2006 - 15:12 Uhr

Der Server hat eben ein neues SSL-Zertifkiat mit größerer Schlüssellänge (4096 Bit) verpasst bekommen. Das Root-Zertifikat von CAcert (Class 1) findet sich hier. Das alte Zertifikat wurde revoked.

Inspiration

27.04.2006 - 10:31 Uhr

Heute entstand die Idee zu diesem Projekt.

News Archiv