Was ist Nginx?

Nginx (ausgesprochen als „Engine-X“ oder „Enginx“ 😉 ) ist ein Open-Source–Webserver, der auch als Reverse-Proxy-Server für HTTP, HTTPS, SMTP, POP3 und IMAP-Protokolle dient. Neben diesen Funktionen bietet Nginx Load Balancing, SSL-Unterstützung und die Möglichkeit, statische Inhalte effizient zu bedienen. Dank des ereignisgesteuerten Modells kann es Tausende von gleichzeitigen Verbindungen mit minimalem Speicherverbrauch bewältigen.

Die Entstehung

Nginx wurde ursprünglich von Igor Sysoev im Jahr 2002 entwickelt. Die primäre Motivation hinter der Entwicklung war die Lösung des C10k-Problems, bei dem Server Schwierigkeiten hatten, zehntausende von gleichzeitige Verbindungen effizient zu bedienen. Seitdem hat es sich zu einem der beliebtesten Webserver weltweit entwickelt und wird von einigen der größten und meistbesuchten Websites der Welt eingesetzt.

Optimal aufsetzen und umsetzen

Die Installation variiert je nach Betriebssystem, aber für die meisten Linux-Distributionen erfolgt sie über den Paketmanager:

sudo apt-get update sudo apt-get install nginx

Nach der Installation startet man Nginx und aktiviert den Autostart:

sudo systemctl start nginx sudo systemctl enable nginx

Konfiguration

Die Hauptkonfigurationsdatei von Nginx befindet sich unter /etc/nginx/nginx.conf. Hier lassen sich verschiedene Serverblöcke (entsprechend Virtual Hosts in Apache) definieren, um unterschiedliche Domains oder Subdomains zu bedienen.

Ein einfaches Beispiel für einen Serverblock:

server { listen 80; server_name beispiel.de www.beispiel.de; location / { root /var/www/beispiel.de; index index.html; } }

Zu beachtende Punkte bei der Implementierung von Nginx:

1. Effizienz bei statischen Inhalten: Es eignet sich besonders gut zum Bedienen von statischen Inhalten. Stellt sicher, dass statische Ressourcen, wie Bilder oder CSS-Dateien, korrekt konfiguriert sind, um es optimal bedienen zu können.
2. SSL-Zertifikate: Bei der Verwendung von HTTPS empfiehlt sich die Einbindung von Let’s Encrypt für kostenlose SSL-Zertifikate. Nginx unterstützt die SSL-Konfiguration nahtlos. (Siehe auch meinen Beitrag über SSL)
3. Modulare Konfiguration: Nutzt die Möglichkeit, Konfigurationsdateien in separate Dateien aufzuteilen und mit der include-Direktive einzubinden. Das erhöht die Lesbarkeit und erleichtert die Verwaltung.
4. Load Balancing: Es bietet Load Balancing-Funktionalitäten out of the box. Dies hilft, den Datenverkehr effizient auf mehrere Server zu verteilen.

Fazit

Nginx hat sich nicht ohne Grund zu einem der führenden Webserver der Welt entwickelt. Seine Flexibilität, Leistung und der geringe Ressourcenverbrauch machen es zu einer ersten Wahl für viele Projekte. Mit der richtigen Einrichtung und Konfiguration lässt sich die Leistungsfähigkeit von Nginx voll ausschöpfen. Indem man die obigen Richtlinien und besten Praktiken befolgt, sichert man sich eine solide, schnelle und sichere Webumgebung. Zur offiziellen Seite geht es hier entlang.

Der Beitrag Nginx – Ursprung, Aufbau und Best practices erschien zuerst auf CEOsBay.

ProtonMail so viel anders als die anderen?

Im Gegensatz zu anderen gängigen E-Mail-Anbietern verwendet ProtonMail eine clientseitige Verschlüsselung, um E-Mail-Inhalte und Nutzerdaten zu schützen, bevor sie an die ProtonMail-Server gesendet werden. Der Dienst kann über einen Webmail-Client, das TOR-Netzwerk (Über TOR werde ich in einem zukünftigen Beitrag schreiben) oder über spezielle iOS- und Android-Apps genutzt werden und Einrichtung sowie Nutzung des Standardkontos ist kostenlos. Dennoch gibt es auch optionale kostenpflichtige Pakete, die man buchen kann.

Eine kurze Zeitreise

Proton Technologies wurde 2013 in Genf, in der Schweiz, gegründet. Anfangs war die Registrierung bzw. Mitgliedschaft nur auf Basis einer Einladung möglich. Am 16. Mai 2014 ging ProtonMail in die öffentliche Beta-Phase über. Die Resonanz war so positiv, dass nach drei Tagen die Beta-Anmeldungen vorübergehend ausgesetzt werden mussten, um die Serverkapazität zu erweitern.

Die PayPal Story

Zwei Monate später erhielt Proton Technologies über eine Crowdfunding-Kampagne auf Indiegogo ca. 550.000 US-Dollar von ca. 10.500 Spendern, obwohl das Ziel lediglich für 100.000 US-Dollar angesetzt war. Während der Kampagne wurde das PayPal-Konto von Proton Technologies von PayPal mit dem Verdacht auf die unrechtmäßige Verschlüsselung eingefroren. PayPal verhinderte die Abhebung von Spenden im Wert von ca. 250.000 US-Dollar. Nachdem die Sperre unbegründet blieb, wurden die Beschränkungen am nächsten Tag wieder aufgehoben.

Am 18. März 2015 erhielt Proton Technologies 2 Millionen US-Dollar von der gemeinnützigen Fondation Genevoise pour l’Innovation Technologique (FONGIT) und Charles River Ventures. Der 14. August 2015 war der Startschuss für ProtonMail in der Prefinal-Version 2.0.
Diese hatte eine komplett neu geschriebene Codebasis für die Webschnittstelle. Am 17. März 2016 kam die Version 3.0, die den offiziellen Start von ProtonMail aus der Betaphase heraus darstellte. Neben einer neuen GUI für den Web-Client, umfasste Version 3.0 auch den öffentlichen Start der Beta-Anwendungen für iOS und Android. Bis 2017 hatte ProtonMail in etwa 2 Millionen Nutzer.

Am 19. Januar 2017 kündigte Proton Technologies eine Tor-Seite an. Am 21. November 2017 wurde ProtonMail Contacts vorgestellt, der Kontaktmanager mit Zero-Knowledge-Verschlüsselung. ProtonMail Contacts nutzte bzw. nutzt auch digitale Signaturen, um die Integrität der Kontaktdaten zu überprüfen. Am 6. Dezember 2017 folgte die Veröffentlichung der ProtonMail Bridge. Eine Anwendung, die E2EE (Ende-zu-Ende-E-Mail-Verschlüsselung) für jeden Desktop-Client bot bzw. der IMAP und SMTP unterstützt.

Am 25. Juli 2018 führte ProtonMail die Adressverifizierung und die Unterstützung von Pretty Good Privacy (PGP) ein. Dadurch wurde ProtonMail mit anderen PGP-Clients interoperabel.

Der Quellcode für das Backend war und blieb bislang Closed Source. Den Quellcode für die Weboberfläche hat ProtonMail jedoch unter einer Open-Source-Lizenz veröffentlicht. ProtonMail hat auch seine mobilen Clients für iOS und Android, sowie die ProtonMail Bridge App als Open Source veröffentlicht. Der gesamte Quellcode ist auf GitHub zu finden. Was GitHub ist kann man in diesem Beitrag lesen.

App Fairness

Im September 2020 beteiligte sich ProtonMail an der Gründung der Coalition for App Fairness. Deren Ziel ist es, bessere Bedingungen für die Aufnahme von Apps in App Stores zu ermöglichen. Proton gründete auch die Coalition for Competitive Digital Markets. Heute zählt die Vereinigung in etwa 50 europäische Technologieunternehmen, die offene, interoperable und wettbewerbsfähige digitale Märkte unterstützen sollen.

Neues Corporate Design

Im Mai 2022 aktualisierte die Proton AG ihr gesamtes Corporate Design. Um ein einheitliches Design für ihre gesamte Software zu erreichen. Stand heute sind es ca. 70 Millionen+ Nutzer, die den Dienst nutzen bzw. vertrauen.

Fazit

Der Service von Proton ist eine durchaus gute Wahl für alle, die Wert auf Datenschutz und Privatsphäre legen. Vor allem, weil alles relativ einfach einzurichten und äußerst benutzerfreundlich aufgebaut ist. Proton Free, die kostenlose Version umfasst 1 GB Speicher und eine kostenlose Mail-Adresse, mit der 150 Nachrichten pro Tag verschickt werden können. Und für 3,99 EUR / Monat, ist man bereits mit 15 GB sowie 10 Mail-Adressen und unbegrenzten Nachrichten dabei.

Die Schwachstelle von ProtonMail ist, dass ProtonMail selbst, die Schlüssel und Software verwalten. Wenn also jemand böse Absichten pflegt, gibt es nichts, was sie daran hindert könnte, eine Version ihres Webmail-Codes zu schicken, die das Passwort für die Mailbox zurücksendet, und sobald jemand im Besitz dieses Schlüssels ist, können die PGP-Schlüssel entsperrt und verwendet werdet. Ich sage nicht, dass dies in der Vergangenheit eingetreten ist oder in der Zukunft eintreten kann. Doch genau dies ist bei einem Konkurrenz-Dienst (Hushmail), in Zusammenhang mit den US-Strafverfolgungsbehörden gemacht worden und so wurden damit zumindest Hushmail’s früheren Zusicherungen, dass ihre Lösung „sicher“ sei, zunichte gemacht.

Einen durch und durch sicheren E-Mail-Dienst zu haben, ist ein schwieriges Unterfangen. Im Grunde genommen müsste der E-Mail-Anbieter die Nutzung ausschließlich über TOR erlauben bzw. zur Verfügung stellen. Bei Google Mail muss man beispielsweise bereits die Anmeldung bzw. spätestens die Verifizierung mit einer Telefonnummer vollziehen, was durchaus eine Sicherheitslücke darstellen kann.

Und am Ende des Tages gehören zu jeder Konversation mindestens 2 Personen. Außer natürlich man ist… Das lassen wir mal lieber… 😀 Aber ja, wir haben mindestens immer zwei Enden und natürlich Metadaten, die in der Regel die IP-Adresse des Absenders, die Absenderadresse, die Empfängeradresse und die Betreffzeile enthalten. Für einen Profi lässt sich damit schon einiges anfangen. Aber um dies zu evaluieren sollte man vielleicht einen Spezialisten hinzuziehen. Ansonsten bleibt es jedem selbst überlassen, darüber zu urteilen ob und mit welchem E-Mail-Dienst man verkehren will 😀

Der Beitrag ProtonMail – E-Mail-Sicherheit neu definiert erschien zuerst auf CEOsBay.

Es verfolgt einen dezentralisierten Ansatz, basiert auf den IMAP bzw. SMTP Protokollen und ist, meiner Erfahrung nach, eines der „sichereren“ Messenger Apps, die man heutzutage nutzen kann.

Was ist IMAP?

Das Internet Message Access Protocol (IMAP), ursprünglich Interactive Mail Access Protocol, ist ein Netzwerkprotokoll, dass ein Netzwerkdateisystem für E-Mails bereitstellt.

Was ist SMTP?

Das Simple Mail Transfer Protocol (Einfaches E-Mail-Transportprotokoll), gehört zu der Internetprotokollfamilie, dass zum Austausch von E-Mails in Computernetzen dient)

Durch den Einsatz der E-Mail-Protokolle IMAP und SMTP ist Delta Chat mit jedem herkömmlichen E-Mail-Client kompatibel. Seit Veröffentlichung im Februar 2019 verzeichnet die App im Google Play Store über 100.000+ Downloads. Auch ist die App im Apple App Store verfügbar aber auf die Zahlen haben wir leider keinen Zugriff. Nachdem ein Freund mich darum gebeten hat, heute ein bisschen was über Delta Chat 😉

Wie funktioniert Delta Chat?

Wie anfangs angesprochen, werden die IMAP- und SMTP-Protokolle benutzt. Daher kommt das System ohne Registrierung bzw. Erstellung eines Kontos innerhalb des Messengers selbst und ohne eigene Server aus. Auch wird keine Telefonnummer oder der Zugriff auf das Adressbuch benötigt. Man ist bei der Verwendung nicht auf Nutzer beschränkt, die denselben Dienst verwenden. Folglich kann man damit Nutzer erreichen, die andere Chat-Clients verwenden, da das zugrundeliegende Messaging-Protokoll der offene E-Mail-Standard ist. Alles in allem sehr viel versprechend. Doch zu Beginn habe ich „sichereren“ in Anführungszeichen geschrieben. Bewusst 😉

Dies liegt aber weniger an Messenger selbst, sondern an der E-Mail-Infrastruktur bzw. den zugrundeliegenden Protokollen IMAP und SMTP. Darüber aber nachfolgend mehr.

Verschlüsselung

Bei Nachrichteninhalten wird auf Ende-zu-Ende-Verschlüsselung (E2EE) zur „sichereren“ Kommunikation gesetzt. Unter „E2EE“, versteht man die Verschlüsselung übertragener Daten, über alle Übertragungsstationen hinweg. Nur die Kommunikationspartner (Die jeweiligen Endpunkte der Kommunikation) können die Nachrichten entschlüsseln. Dazu nutzt der Messenger OpenPGP (Ein standardisiertes Datenformat für verschlüsselte und digital signierte Daten). Zertifikate definieren das Format, die als „Schlüssel“ bezeichnet werden. Autocrypt stellt eine weitere Schutzebene dar. Diese Verschlüsselung baut auf dem OpenPGP-Standard auf und ist damit kompatibel. Autocrypt ist ebenfalls eine standardisierte Richtlinie, die eine nutzerfreundliche Verschlüsselung von E-Mails und automatisierten, aber ungesicherten Austausch kryptografischer Schlüssel ermöglicht.

Bei der Verknüpfung eines E-Mail-Kontos generiert Delta Chat bei der Ersteinrichtung automatisch ein Schlüsselpaar. Auch der Import von bereits bestehenden Schlüsseln ist möglich. Mittels Autocrypt werden die öffentlichen Schlüssel anschließend zwischen den Teilnehmern ausgetauscht und ermöglichen damit eine E2EE-Kommunikation. Bei Autocrypt kann theoretisch ein nichtwohlgesonnener E-Mail-Provider diese Verschlüsselung kompromittieren, da Autocrypt grundsätzlich jeden Schlüssel akzeptiert. Dies erfolgt über „Opportunistic Security (RFC 7435)“. Dies werde ich zu einem späteren Zeitpunkt thematisieren, da es den Rahmen sprengen würde. Es ist 06:10 Uhr, Sonntag morgen 😀 – Wen es aber interessiert, kann dennoch auf den Link klicken 😉

MiTM

Auf jeden Fall können wir festhalten, dass das Potential erfolgreicher Man-in-the-Middle-Attacken minimiert wird. Bei einem Man-in-the-Middle-Angriff platziert sich der Angreifer logisch oder physisch zwischen dem Opfer und den verwendeten Ressourcen. Der Angreifer ist dadurch in der Lage, die Kommunikation abzufangen, mitzulesen oder zu manipulieren. Delta Chat erweitert den Autocrypt-Standard daher um countermitm – dadurch wird die Wahrscheinlichkeit einer erfolgreichen Man-in-the-Middle-Attacke auf verifizierte Schlüssel bzw. Kontakte minimiert.

Neben dieser „Schwäche“ kommt hinzu, dass OpenPGP keine Perfect Forward Secrecy beherrscht. (PFS – Perfect Forward Secrecy ist eine Methode für den Schlüsselaustausch kryptografischer Verfahren. Es bewerkstelligt, dass eine nachträgliche Entschlüsselung durch Bekanntwerden des Hauptschlüssels erschwert bzw. ausgeschlossen wird. Die Sitzungsschlüssel werden nicht ausgetauscht und sind nicht mehr rekonstruierbar). Die Schutzziele der „glaubhaften“ Abstreitbarkeit und Folgenlosigkeit sind daher nicht umsetzbar. Um sicher zu stellen, dass man mit seinem wahren Gegenüber kommuniziert, stellt Delta Chat eine Authentifizierung via QR-Code zur Verfügung. Dadurch wird gewährleistet, dass sich kein Dritter zwischenschaltet. Nach der Durchführung des gegenseitigen Scans des QR-Codes, werden die Nutzer als „Verifiziert“ markiert.

Wenn die Empfänger einer Nachricht auch Delta Chat nutzen, werden die Nachrichten automatisch Ende-zu-Ende-verschlüsselt und als Chatnachricht dargestellt. Allerdings erlaubt Delta Chat das Versenden von Nachrichten auch an E-Mail-Postfächer bzw. Kontakte, die kein Delta Chat verwenden. Wenn der Empfänger einen E-Mail-Client verwendet, der nicht Autocrypt-kompatibel ist, werden Nachrichten unverschlüsselt bzw. nur transportverschlüsselt gesendet bzw. empfangen. Das hat den Nachteil, dass ein E-Mail-Provider die so empfangenen / versendeten Nachrichten unter Umständen einsehen kann. Diesen Umstand sollte man unbedingt berücksichtigen bzw. bei der Nutzung von Delta Chat im Hinterkopf behalten. Welche Transportverschlüsselung zum Einsatz kommt, kann in der App eingesehen werden bzw. wird dies im Nachrichtenverlauf mit einem Schloss symbolisiert.

Dezentralisierung

Wie bereits angesprochen, verfolgt Delta Chat den Ansatz der dezentralisierten Kommunikation, da der Nachrichtenaustausch nicht über zentrale Server läuft. Delta Chat setzt auf die bestehende E-Mail-Infrastruktur auf und kann dadurch auf eigene Server verzichten. Die Nutzung von Delta Chat setzt demnach lediglich ein bestehendes E-Mail-Postfach voraus, das mit Delta Chat verknüpft werden muss. Der Nutzer ist also vollkommen frei in seiner Entscheidung, bei welchem E-Mail-Anbieter er ein Konto eröffnet. Die einzige Voraussetzung ist das IMAP-Protokoll.

Fazit

Ist man im Besitz einer E-Mail-Adresse, kann man Delta Chat ohne eine Registrierung und vor allem Serverunabhängig nutzen. Wird Delta Chat von der Gegenseite nicht genutzt, werden Nachrichten an die konventionelle E-Mail-Adresse des Empfängers gesendet. Wenn der Empfänger auch Delta Chat nutzt, bekommt man die Nachricht innerhalb der App angezeigt. Durch diesen Ansatz ist es nicht notwendig, denselben Messenger zu nutzen. Man kann Delta Chat daher auch als interoperablen Messenger nutzen.

Im Grunde genommen eignet sich Delta Chat für Personen, die ihre Telefonnummer nicht teilen wollen. Gleichzeitig kann man sich die Möglichkeit offen halten, über einen Messenger erreichbar zu sein.

Leider ist nicht sichergestellt, dass Nachrichten E2EE verschlüsselt zugestellt werden und damit für einen Angreifer einsehbar sind. Über die Metadaten können die An- und CC-Felder des E-Mail-Headers eingesehen werden. So lässt es sich relativ einfach herausfinden, wer mit wem, zu welchem Zeitpunkt kommuniziert hat. Die Interoperabilität hat durchaus seine Vorteile. Ob die Vorteile dabei die Nachteile überwiegen, darf jeder für sich selbst entscheiden. Alles in allem stellt Delta Chat eine gute Alternative als Instant Messenger dar. Selbst für meinen Geschmack, wird eine gute Portion an Mehrwert für den Dezentralisierungsgedanken leistet.

Der Beitrag Delta Chat – E-Mail neu erfunden erschien zuerst auf CEOsBay.