[workaround] Was tun? CEWE-Fotobuch nutzt SSLv3, Stretch ist ohne

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

[workaround] Was tun? CEWE-Fotobuch nutzt SSLv3, Stretch ist ohne

Beitrag von ingo2 » 11.11.2017 22:17:50

Hallo,

das CEWE-Fotobuch ist an sich eine ordentliche Software und besonders unter Linux konkurrenzlos. Linux und speziell Debian werden aber vernachlässigt, was unter Stretch besonders krass ist. Erst haben sie auf einer alten gstreamer-Version bestanden, dann waren die Qt-Bibliotheken nich voll kompatibel, aber seit Version 6.2.4 wird es ernst unter Stretch:

Habe schon im August festgestellt, daß für das Einfrieren und die Startprobleme letztendlich die in Stretch fehlende SSLv3-Unterstützung ist:
https://www.cewe-community.com/forum/vi ... 88#p115438
So, jetzt haben sie die kosmetischen Schniztzer korrigiert, startet auch, nur der Download von Cliparts, ... ist nicht mehr möglich. Ursache ist wie gehabt fehlendes SSLv3 in Stretch:
https://www.cewe-community.com/forum/vi ... 22#p118009

Natürlich ist SSLv3 inzwischen unsicher und auch das BSI rät davon ab, aber CEWE scheint das einfach auszusitzen oder zu ignorieren - auf Kosten der Sicherheit.

Schon im August hatte ich das auch dem Support per Mail gemeldet, bekam aber nur dieses Blah-blah zur Antwort:
Leider können wir Ihnen momentan keinen andern Lösungsweg anbieten. Wie mein Kollege schon erwähnt hat, werden wir dieses Problem an unsere Techniker weiterleiten.

Gerne versichern wir Ihnen, dass wir alles daran setzen, die Verbindungen sicher zu gestalten und keine Übertargungsmöglichkeiten anbieten. Die wir als unsicher einstufen.
Bevor ich mich z.B. an Heise wende, würde mich eure Meinung und Rat dazu hören. Ich finde, wir sollten das nicht einfach hinnehmen?
Ingo
Zuletzt geändert von ingo2 am 16.11.2017 20:23:43, insgesamt 1-mal geändert.

Benutzeravatar
smutbert
Moderator
Beiträge: 8313
Registriert: 24.07.2011 13:27:39
Wohnort: Graz

Re: Was tun? CEWE-Fotobuch nutzt SSLv3, Stretch ist ohne

Beitrag von smutbert » 11.11.2017 22:59:52

Mein Nicht-Hinnehmen sieht in solchen Fällen meist so aus, dass ich auf das Angebot verzichte, ganz egal ob es um auszuarbeitende Fotos, bekannte Anbieter von Hörbüchern oder etwas anderes geht.

Beim Fotobüchern ist verzichten aber gar nicht notwendig. Ich kann mich erinnern zu diesem Zweck schon einmal – mit wenig Erfahrung und zugegebenermaßen mühsam – ein PDF zusammengebastelt zu haben. Es gibt mehr als genug Anbieter, die PDFs als Fotobuch drucken, unter anderem Cewe selbst.
Vor relativ kurzer Zeit habe ich in einer Fotozeitschrift (c't Fotografie) auch einen Artikel gelesen, der das Vorgehen mit Debianscribus sehr detailliert beschreibt. Es gibt aber auch so genug im Netz:
http://www.fotobuchmagazin.de/fotobuchg ... erstellen/
http://www.linux-community.de/Internal/ ... Buchmacher
http://www.fotobuchberater.de/fotobuch- ... rial).html

Wenn es einfacher sein soll, kann man vielleicht auch einfach mit einem beliebigen Programm die Fotos als PDF drucken (etwa mit PhotoPrint) oder man arrangiert sich zu dem Zweck vielleicht sogar mit libreoffice Writer oder einer anderen Textverarbeitung (oder gar latex).

Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: Was tun? CEWE-Fotobuch nutzt SSLv3, Stretch ist ohne

Beitrag von ingo2 » 11.11.2017 23:10:51

@smutbert

Hast du im Prinzip Recht, ich habe auch schon ein Buch (mehr Buch als Fotos) bei Viaprinto (=CEWE) machen lassen (PDF angeliefert), das war absolut ok.

Aber die Fotobuch-Software nutzt meistens meine Frau, die ist a) kein Computer-Freak und b) möchte gestalten mit Cliparts, Rahmen, Scatten, Hitergründen ...
Da gab's früher mal ne Alternative, das war "Farbglanz", aber die sind heute nicht mehr vergleichbar - falls es die noch gibt. Da wäre noch "Pixum", die nutzen aber CEWE-Software - :-(

Außerdem - die sollte man auf TLS1.2 zwingen. Auch Apple hat SSLv3 depreciatet.

uname
Beiträge: 12041
Registriert: 03.06.2008 09:33:02

Re: Was tun? CEWE-Fotobuch nutzt SSLv3, Stretch ist ohne

Beitrag von uname » 12.11.2017 08:24:13

Mach es wie fast alle Anwender, die ein spezielles Programm benötigen: Installiere ein kompatibles also unterstütztes Betriebssystem

Benutzeravatar
frox
Beiträge: 966
Registriert: 06.08.2004 16:29:44
Wohnort: Köln

Re: Was tun? CEWE-Fotobuch nutzt SSLv3, Stretch ist ohne

Beitrag von frox » 12.11.2017 08:38:22

ingo2 hat geschrieben: ↑ zum Beitrag ↑
11.11.2017 22:17:50
Gerne versichern wir Ihnen, dass wir alles daran setzen, die Verbindungen sicher zu gestalten und keine Übertargungsmöglichkeiten anbieten.
Konsequent. *scnr*
Gruß, Fred

Die Zeit salzt alle Wunden

Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: Was tun? CEWE-Fotobuch nutzt SSLv3, Stretch ist ohne

Beitrag von ingo2 » 12.11.2017 17:32:27

uname hat geschrieben: ↑ zum Beitrag ↑
12.11.2017 08:24:13
Mach es wie fast alle Anwender, die ein spezielles Programm benötigen: Installiere ein kompatibles also unterstütztes Betriebssystem
Das wäre ja schon Jessie, da gibt's noch SSLv3.
Und der erste Vorschlag von smutbert, einfach zu verzichten, ist zwar bequem, aber bringt doch keinen Fortschritt. Da kann genau so gut CEWE sagen: auf die paar Stretch-User verzichten wir.
Das hilft weder Linux, noch der Sicherheit. Warum nicht für eine ordentliche Lösung (TLS 1.2) kämpfen?

Ingo

Benutzeravatar
Drahtseil
Beiträge: 500
Registriert: 11.10.2010 18:37:25
Lizenz eigener Beiträge: GNU Free Documentation License
Kontaktdaten:

Re: Was tun? CEWE-Fotobuch nutzt SSLv3, Stretch ist ohne

Beitrag von Drahtseil » 12.11.2017 21:34:06

Ich benutze die Software von Rossmann in Wine (stable). Ist zwar von der Benutzerführen hässlich, aber die Bücher sind ok.

Benutzeravatar
habakug
Moderator
Beiträge: 4313
Registriert: 23.10.2004 13:08:41
Lizenz eigener Beiträge: MIT Lizenz

Re: Was tun? CEWE-Fotobuch nutzt SSLv3, Stretch ist ohne

Beitrag von habakug » 12.11.2017 22:14:18

Hallo!

Du könntest mal versuchen Debianlibssl1.0-dev zu installieren.

Code: Alles auswählen

# apt-get install libssl-dev=1.0.1t-1+deb8u6
Debianwkhtmltopdf ist wohl auch betroffen (oder wird hier verwendet?) [1] [2].

Gruss, habakug

[1] https://github.com/wkhtmltopdf/wkhtmltopdf/issues/3001
[2] https://stackoverflow.com/questions/420 ... an-stretch
( # = root | $ = user | !! = mod ) (Vor der PN) (Debianforum-Wiki) (NoPaste)

Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: Was tun? CEWE-Fotobuch nutzt SSLv3, Stretch ist ohne

Beitrag von ingo2 » 12.11.2017 22:28:10

habakug hat geschrieben: ↑ zum Beitrag ↑
12.11.2017 22:14:18
Du könntest mal versuchen Debianlibssl1.0-dev zu installieren.

Code: Alles auswählen

# apt-get install libssl-dev=1.0.1t-1+deb8u6
Debianwkhtmltopdf ist wohl auch betroffen (oder wird hier verwendet?) [1] [2].
Habe ich schon probiert, allerdings mit der aktuellen Version libssl1.0.0_1.0.1t-1+deb8u7_amd64.deb (nicht die *-dev) aus jessie-security und das geht dann einwandfrei. Die installiert sich übrigens parallel zur 1.0.2 in einem eigenen Verzeichnis.

Dennoch, ich finde das ist keine Lösung, da muß ich dann immer verfolgen, ob es Sicherheits-Updates gibtt, das kann apt leider noch nicht ;-)

Aber soll doch so eine Firma wie CEWE bitte ihre Server auf den aktuellen Stand bringen - oder?

Ingo

Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: Was tun? CEWE-Fotobuch nutzt SSLv3, Stretch ist ohne

Beitrag von ingo2 » 16.11.2017 20:22:53

Zumindest eine Workaround für Stretch habe ich selöbst gefunden. Der dürfte eigentlich keine Sicherheitslücck aufmachen:

https://www.cewe-community.com/forum/vi ... 06#p118206

Sind letztlich 3 SymLinks mit filenames der alten openssl1.0.0 Libraries auf die in Stretch noch enthaltene und gewartete 1.0.2-Version.

Ingo

Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: [workaround] Was tun? CEWE-Fotobuch nutzt SSLv3, Stretch ist ohne

Beitrag von ingo2 » 17.11.2017 18:22:46

Update:

habe inzwischen eine Mail vom "second level (technischen) Support" bekommen. Darin heißt es:
Der Client handelt im Bestellprozess das Sicherheitsprotokoll aus. Begonnen wird leider mit SSL und TLS folgt. Es wird überlegt, die Reihenfolge so zu ändern, dass TLS 1.2 zu Beginn geprüft wird.
Es ist also noch nicht mal sicher, dass alle Funktionen mit meinem oben beschriebenen Workaround funktionieren. Ich habe ja nicht alles bis zum Ende durchgetestet, wo es dann zum Schluß ums Bestellen und Bezahlen geht.

Dafür benötigen sie aber etwas Zeit - ok. Bis dahin möge man doch bitte die ältere Version 6.2.1 benutzen.
Ich hoffe nur, daß das auch ernst gemeint ist und Realität wird Kann man nur hoffen, daß noch weitere Meldungen zu diesem Punkt beim Support eintreffen.

Ingo

Benutzeravatar
CH777
Beiträge: 1464
Registriert: 27.05.2008 16:37:17

Re: [workaround] Was tun? CEWE-Fotobuch nutzt SSLv3, Stretch ist ohne

Beitrag von CH777 » 18.11.2017 10:24:44

ingo2 hat geschrieben: ↑ zum Beitrag ↑
17.11.2017 18:22:46
Bis dahin möge man doch bitte die ältere Version 6.2.1 benutzen.
Was aber leider auch nicht geht, wegen Abhängigkeit von gstreamer-0.1.0....
Ich teste jetzt mal deinen Workaround.

EDIT:
Jawoll, du bist mein Held! Kommunikation mit dem Server klappt, Bestellung ist raus. Vielen Dank!!!
Ich hatte auch mehrfach mit dem 'Support' telefoniert, dort sitzen nur Leute, die überhaupt keine Ahnung von irgendwas haben (1. Tip: Deaktivieren Sie ihre Firewall, 2. Tip: Installieren Sie die Software nochmal, 3. Tip: Aktivieren Sie TLS auf Ihrem Computer :facepalm: ).

Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: [workaround] Was tun? CEWE-Fotobuch nutzt SSLv3, Stretch ist ohne

Beitrag von ingo2 » 18.11.2017 13:30:59

ja, der Support ist ziemlich nutz- und hilf-los was die Software betrifft.

Genauso ärgerlich ist, dass solch gravierende Änderungen nicht im "changelog" erwähnt werden. Da ist nur die Rede von noch mehr Effekten, tollen Bildern ...

Das der Installer auf Prerequisites prüft, ist ja ok. Aber ich vermute, in diesem Fall hier sucht er einfach nach dem Verzeichnis oder einzelnen Lib's ohne die Funktion selbst (TLS oder SSL) zu prüfen, z.B. mit "sslscan". Ansonsten würde er sich doch nicht so täuschen lassen ;-)

Ist jedewnfalls gut zu wissen, dass mit meinem Fake die Software bis zum Ende durchläuft und der Bestellprozess klappt.

Dank für die Info,
Ingo

Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: [workaround] Was tun? CEWE-Fotobuch nutzt SSLv3, Stretch ist ohne

Beitrag von ingo2 » 19.11.2017 22:55:52

Nachtrag:

Für den Workaround zwei weitere Informationen:

a) es reicht, als root nur diese 2 Symlinks zu erstellen im Verzeichnis /usr/lib/x86_64-linux-gnu/:

Code: Alles auswählen

ln -s libssl.so.1.0.2 libssl.so.1.0.0
ln -s libcrypto.so.1.0.2 libcrypto.so.1.0.0
b) Wer es ohne root-Rechte machen will, kann auch die Symlinks im Fotobuch-Installationsverzeichnis erstellen:

Code: Alles auswählen

ln -s /usr/lib/x86_64-linux-gnu/libssl.so.1.0.2 libssl.so.1.0.0
ln -s /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.2 libcrypto.so.1.0.0
Die dort gefundenen Libs werden bevorzugt gegenüber denen im System.

Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: [workaround] Was tun? CEWE-Fotobuch nutzt SSLv3, Stretch ist ohne

Beitrag von ingo2 » 22.11.2017 11:37:26

Nur zur Info:

habe inzwischen von der CEWE-IT die kompilierten Binaries

Code: Alles auswählen

libssk.so.1.0.0
libcrypto.so.1.0.0
erhalten (32- und 64-bit Versionen).
Es wird wahrscheinlich deren Lösung des Problems sein, diese Libraries der Software beizupacken, da man die SymLinks den Usern nicht aufhalsen will ;-). Die werden dann einfach im Installationsverzeichnies plaziert/entpackt.
Ich habe auch die Erlaubnis, diese OpenSSL-Libraries weiterzugeben, bei Bedarf bitte eine PM.

Die Libraries enthalten wahrscheinlich auch noch SSLv3-Unterstützung.
Frage an die Experten:
Kann man irgendwie feststellen, welche OpenSSL-Version in den Binaries verbirgt - "file" liefert da keine Info?

Ich selbst benötige sie nicht und ziehe es vor, auf die original Debian-Versionen zu setzen, da bekomme ich auch immer aktuelle Security-Updates - das ist mir bei CEWE doch zu riskant.

Ingo

EDIT:
Eins muß man aber CEWE lassen: schnell haben sie reagiert und sich Mühe gegeben!
Aber bis man mal an der richtigen Stelle Gehör findet, ist es mühsam.

Benutzeravatar
hikaru
Moderator
Beiträge: 13559
Registriert: 09.04.2008 12:48:59

Re: [workaround] Was tun? CEWE-Fotobuch nutzt SSLv3, Stretch ist ohne

Beitrag von hikaru » 22.11.2017 14:18:12

ingo2 hat geschrieben: ↑ zum Beitrag ↑
22.11.2017 11:37:26
Kann man irgendwie feststellen, welche OpenSSL-Version in den Binaries verbirgt - "file" liefert da keine Info?
Du könntest sie mit einem Hex-Editor öffnen und dann nach dem Bibliotheksnamen suchen. Da sollte der Kompatibilitätsbereich der Bibliothek drin stehen. Das Ende dieses Intervals ist für gewöhnlich die Version der Bibliothek selbst.
In /usr/lib/i386-linux-gnu/libssl.so.1.1 aus Debianlibssl1.1_1.1.0f-3+deb9u1_i386.deb steht z.B. an Adresse 0x0000835F dies:

Code: Alles auswählen

OPENSSL_1_1_0f
Das gibt dir natürlich nur die Upstream-Version. Mögliche rückportierte Fixes wie es z.B. Debian macht [1] erfährst du so z.B. nicht.

[1] http://metadata.ftp-master.debian.org/c ... _changelog

Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: [workaround] Was tun? CEWE-Fotobuch nutzt SSLv3, Stretch ist ohne

Beitrag von ingo2 » 22.11.2017 16:40:44

Die CEWE-Lib's sind ganz schön angestaubt:

Code: Alles auswählen

OPENSSL_1.0.1f
vom 6. Jan 2014
Daß da Fixes/Patches angebracht wurden, bezeifle ich stark. Selbst Wheezy ist schon auf dem Stand 1.0.1t. Da sollte man lieber die Versionen 1.0.1t aus Jessi-security nehmen. Ich hatte zwar die Version angefragt, aber darauf keine Antwort erhalten. Meine Vermutung (da die auch libsnappy benutzen) ist irgendeine alte Version von Canonical.
Libcrypto enthält da natürlicjh noch SSLv2 und v3 wie auch die Jessie-Versionen.

Dann sollte dieser Thread auch der Warnung dienen, die von CEWE später evtl. mitgelieferten Pakete nicht blind einzusetzen, sondern entweder die SymLink-Variante von oben oder (wer SSLv3 unbedingt braucht) die Jessie-Lib's zu nehmen.

Benutzeravatar
hikaru
Moderator
Beiträge: 13559
Registriert: 09.04.2008 12:48:59

Re: [workaround] Was tun? CEWE-Fotobuch nutzt SSLv3, Stretch ist ohne

Beitrag von hikaru » 22.11.2017 17:20:06

halb-ot:
Ich habe gerade mal deine Threads im CEWE-Supportforum überflogen und muss sagen, dass ich mich als Unbetroffener vorzüglich unterhalten fühlte (die eigentlich für's Wochenende gedachte Chipstüte ist leider schon halb leer).
Ist diese Bananenware wirklich die beste Lösung die einem als Linuxer für den angedachten Zweck (welcher immer das sei) zur Verfügung steht? "Fotobuch" klingt jetzt auch nicht so wirklich nach "rocket science".

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: [workaround] Was tun? CEWE-Fotobuch nutzt SSLv3, Stretch ist ohne

Beitrag von scientific » 22.11.2017 18:08:50

Na Immerhin wissen die im Support von Begriffen wie Firewall u. Ä.

Hatt mal den Supportfall, dass mich die Dame fragte, welches Internet (sic!) ich verwende.
Ich sagte ihr Wahrheitsgetreu, dass ich sowohl mit Firefix, Chrome und Internetexplorer den Fehler nachstellen kann.
Ich solle das "Internet" mitteilen. Also nannte ich ihr "internetexplorer 11".
Darauf meinte sie, Wndows wär doch erst bei 10...

Dass sie von meinen Versuchen mit nmap, erreichbaren Ports, und nicht erreichbaren so viel verstand, wie wenn mir ein Spanier von geschlechtsreifen Pekingenten erzählt, wunderte mich dann gar nicht mehr.

Ist es wirklich so schwierig, Leute für den Support zu kriegen, die Windows vom Browser und diesen vom "Internet" unterscheiden können? Besonders wenn man diese an eine technische Suppirthotline setzt...

Lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: [workaround] Was tun? CEWE-Fotobuch nutzt SSLv3, Stretch ist ohne

Beitrag von ingo2 » 22.11.2017 18:26:50

hikaru hat geschrieben: ↑ zum Beitrag ↑
22.11.2017 17:20:06
Ist diese Bananenware wirklich die beste Lösung die einem als Linuxer für den angedachten Zweck (welcher immer das sei) zur Verfügung steht? "Fotobuch" klingt jetzt auch nicht so wirklich nach "rocket science".
Ich sag's mal so:
In Vergleichs-Tests hat CEWE immer als einer der "besten" abgeschnitten. Softwareseitig verwendet der aktuelle Testsieger (Pixum) die gleiche Software, meistens in einer älteren Version. Verdienen tun die ihr Geld natürlich mit der Herstellung von Fotobüchern, deren Qualität ist absolut ok. Es ist meines Wissens der einzige Hersteller, der eine Linux-Version mit genau den gleichen Features wie die M$-Versionen hat.

Meine Frau (ein Computer-Dummy) hat schon ca. 20 Fotobücher damit gestaltet, wobei der Schwerpunkt auf gestaltet liegt. Die Bedienung ist intuitiv, der Funktionsumfang beachtlich. Und was ich noch bei keiner anderen Software gefunden habe: alle System-Schriftarten werden auch unter Linux komplett und fehlerfrei eingebunden.

Und da ich jetzt auf deren Laptop von Jessie auf Stretch updaten will, muß ich natürlich sicherstellen, daß
a) die alten Fotobücher weiterhin zu öffnen sind
b) die Software auch wieder ordentlich funktioniert.

Mit anderen Worten: ich habe keine andere Wahl ;-)

Ingo

P.S.: Bin auch mal gespannt auf die Kommentare anderer User - nachdem das eigentliche Problen ja gelöst ist!

Benutzeravatar
hikaru
Moderator
Beiträge: 13559
Registriert: 09.04.2008 12:48:59

Re: [workaround] Was tun? CEWE-Fotobuch nutzt SSLv3, Stretch ist ohne

Beitrag von hikaru » 22.11.2017 19:34:31

scientific hat geschrieben: ↑ zum Beitrag ↑
22.11.2017 18:08:50
Ist es wirklich so schwierig, Leute für den Support zu kriegen, die Windows vom Browser und diesen vom "Internet" unterscheiden können?
Nur dann, wenn man nicht bereit ist die Leute vernünftig zu bezahlen.
Ich kenne jemanden der am Anfang seiner Karriere einige Zeit im 2nd Level bei einem großen Telekommunikationsanbieter gearbeitet hat und für das Geld was er da bekam hätte ich die Arbeit (ungehaltene Kunden, Schicht- und Bereitschaftsdienst) nicht gemacht. Heute schmeißt er im selben Laden Teile der IT und bekommt deutlich mehr. Schicht und Bereitschaft hat er immer noch, aber zumindest die Kunden ist er los.

ingo2 hat geschrieben: ↑ zum Beitrag ↑
22.11.2017 18:26:50
In Vergleichs-Tests hat CEWE immer als einer der "besten" abgeschnitten.
Unter den Blinden ist der Einäugige König?
ingo2 hat geschrieben: ↑ zum Beitrag ↑
22.11.2017 18:26:50
Meine Frau (ein Computer-Dummy) hat schon ca. 20 Fotobücher damit gestaltet, wobei der Schwerpunkt auf gestaltet liegt.
Meine Mutter ist der Inbegriff des Computer-Dummys schlechthin. (Ich würde auch DAU sagen, aber sie sucht die Ursachen für ihre Probleme nicht bei anderen.)
Ihre Fotobücher, die ganze Regalwände füllen, macht sie nach wie vor analog mit Stift und Kleber und keiner von uns sieht einen Grund, warum sich das ändern sollte.
Ich finde, Computer sind was Tolles, aber man muss nicht alles damit machen*, insbesondere wenn man die Ansicht nicht teilt.


*) Nägel mit der Maus einzuschlagen ist z.B. äußerst unpraktisch.

uname
Beiträge: 12041
Registriert: 03.06.2008 09:33:02

Re: [workaround] Was tun? CEWE-Fotobuch nutzt SSLv3, Stretch ist ohne

Beitrag von uname » 23.11.2017 14:44:51

Am Rande:

Das Beispiel zeigt recht gut warum Ubuntu "Snap Apps" erfunden hat. Warum sollte man ordentlich programmieren lernen, wenn man dem Kunden auch einfach veraltete Bibliotheken mit der Software ausliefern kann. Der Windows-Anwender merkt es nicht und bei Ubuntu gibt es bald auch keine Probleme mehr. Am Ende bleibt nur der dumme Debian-Anwender der auf sein Paketsystem flucht.

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: [workaround] Was tun? CEWE-Fotobuch nutzt SSLv3, Stretch ist ohne

Beitrag von scientific » 23.11.2017 16:25:54

Der Segen günstiger Massenspeicher ist gleichzeitig auch deren Fluch...

Als ich studieren begonnen habe, hat ein mir gut Bekannter Mensch bei einem großen deutschen Industriebetrieb zu arbeitgen begonnen. Der erzählte mir von seinem Entwicklungsrechner, auf dem er Microchips entwickelte. Der hatte damals 32GB RAM.

Als er die Zahl nannte (Hab mir grad eine ganz neuen PC zusammengeschraubt und war mit 64MB RAM deutlich am oberen Ende angesiedelt, was in meinem Umfeld so an RAM in Kisten geschraubt wurde), war das für mich so ähnlich, wie wenn heute jemand zu mir kommt und mir erzählt, er hätte ein Monatseinkommen von 15 Milliarden Euro... Ich hab die Zahl zwar wahrgenommen (und mir offenbar gemerkt), aber so richtig vorstellen konnte ich mir das überhaupt nicht...
Ein paar Jährchen zuvor erzählte mir ein Schulkollege, er habe in einer Computerzeitschrift bei einem Freund von einem Entwickler gelesen, der es soeben schaffte, eine Festplatte mit der unvorstellbaren Größe von 1GB zu bauen... das Erstauen meinerseits war ähnlich groß...
Ich hab mir bei meinem 64MB-RAM-Rechner dann eine Platte mit 3,2GB reingeschraubt. Die bekam ich relativ günstig und war die absolut und mit Abstand größte Platte, die ich zum damaligen Zeitpunkt wahrnehmen konnte...

In dieser Zeit spielte natürlich RAM und Festplattenplatz eine entscheidende Größe. Und die Notwendigkeit von shared Librarys war groß. Und ich habe die Diskussion in den letzten Jahren so mitverfolgt... Der Tenor ging eindeutig in die Richtung, dass man diese Library-Hölle endlich beseitigen können möchte. Was ja unter Linux jetzt mit SNAP und FLATPAK zu gelingen scheint. Die warnenden Rufe nach ungefixten Löchern in veralteten Bibliotheken wurden irgendwie immer weggewischt.

Und jetzt ist es halt soweit... Praktisch nutzbare One-Klick-Installation mit ungefixten Löchern und veralteten Protokollen...

Schöne neue Welt.

lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: [workaround] Was tun? CEWE-Fotobuch nutzt SSLv3, Stretch ist ohne

Beitrag von ingo2 » 23.11.2017 18:19:24

scientific hat geschrieben: ↑ zum Beitrag ↑
23.11.2017 16:25:54
Ein paar Jährchen zuvor erzählte mir ein Schulkollege, er habe in einer Computerzeitschrift bei einem Freund von einem Entwickler gelesen, der es soeben schaffte, eine Festplatte mit der unvorstellbaren Größe von 1GB zu bauen... das Erstauen meinerseits war ähnlich groß...
Ich erinnere mich ganau an die Zeiten.
Meine damalige Errungenschaft war eine 1GB Spitfire gefertigt von IBM in Mainz. War sündhaft teuer, mehrere 100DM. Die hatte ein Wide-SCSI-Interface und schaffte sagengafte 6MB/s Durchsatz.
Ich habe die vor Kurzem einem Sammler fügrs Museum gechenkt, er hat bestätigt, daß sie noch heute funktioniert.
scientific hat geschrieben: ↑ zum Beitrag ↑
23.11.2017 16:25:54
Und jetzt ist es halt soweit... Praktisch nutzbare One-Klick-Installation mit ungefixten Löchern und veralteten Protokollen...
Hier nur zu Info meine Antwort an CEWE:

Für mich persönlich ist das Thema jetzt gelöst, aber noch ein wichtiger
Hinweis, falls CEWE diese Libraries als Binär-Dateien mitliefern will
anstatt die Symlinks in einem Script zu erzeugen:

Die von Ihnen erhaltenen libssl und libcrypt sind total veraltet, im
Hex-Editor findet man als Upstream-Version
OPENSSL_1.0.1f vom 6. Jan 2014
Da sind inzwischen zahlreiche Sicherheitslücken bekannt geworden und
auch gepatcht worden. Aktuell ist die Version
1.0.2m vom 2. November 2017

Und mittelfristig sollte man auf OpenSSL 1.1 umstellen.

Die Binaries ohne regelmäßige Sicherheitsupdates den Kunden zu
installieren, ist wirklich nicht empfehlenswert.

Mußte mich dabei arg beherrschen, um nicht zu drastisch zu werdn ;-)

Antworten