 Ja, also, hallo. Schön, dass ihr alle da seid und ich stelle mich mal kurz vor. Mein Name ist Alexander Parawatz, ich bin vom Wurzburger Afer, der ist Nürnert und man erreicht mich irgendwie unter whatsapp Nürnert.org, falls ihr irgendwie Fragen habt oder so. Ich gebe heute ein bisschen ein Talk, beziehungsweise eher eine Übersicht über, naja, wie sicher ich ein bisschen die Leute, die auf die Service ist, bei mir zugreifen, möglichst sicher mit mir kommunizieren. Oder halt mit anderen. Das sind das Talks. Weil das Problem ist, Service ist absichern, wer irgendwie jetzt irgendwie Großhardening oder sowas möchte oder wie man das hier irgendwie querbeten noch absichert über weiß Gottliche Mechanismen, da bekomme ich in der Stunde nicht durch. Also keine Chance. Deswegen gibt es hier eigentlich nur so eine Übersicht und das ist so meine kleine Introduction sozusagen. So, ungefähr sieht es so aus. Warum mache ich das und wieso und überhaupt und welche Services gehe ich überhaupt ein? Die stehen da. Also komme ich Punkt, Punkt 2 dazu. Aber warum mache ich das Ganze? Weil es gibt halt irgendwie solche Webseiten. Ja, ich glaube, das Tool habt ihr schon mal gesehen. Das ist eines SSL-Labs und das andere ist Security.io. Da gibt es halt solche Webseiten und dann gibt es halt irgendwie solche Webseiten. Und die Frage ist, wie komme ich von solchen Webseiten auf solche? Ja, und ich selber habe halt ein bisschen Infrastruktur am Einsatz und ich habe natürlich ewig gebraucht, bis ich da die entsprechenden Settings gefunden habe, damit sowas daraus kommt. Also nicht A++, aber A++ ist schon mal ganz gut. Deswegen die Frage an euch, wer von euch hat generell so Infrastruktur bei euch ein RFA oder Chaos-Treff oder Club irgendwo rumstehen? Also Web-Server wahrscheinlich schon. Ja, okay. Wie sieht es mit eigenem Mail-Server aus? Eins, zwei, okay. Eigenen Jabba-Server. Zwei, okay. Was ist mit einem Eigen-Irg? Ah, nicht so, ne? Okay. Also diese Tools sind auch ganz hübsch, Security-Headers.io und SSL-Labs, aber sie scanen halt irgendwie nur die PS. Nein, das ist halt irgendwie blöd, wenn man in einem anderen Service betreibt und man möchte mal gucken, wie die so funktionieren und ob da auch dementsprechend die Cypher-List oder weil einem passt. Deswegen, fangen wir an. Ja, Services. Also ich nehme da ein Apache für den Endings, das ist ähnlich. Da ist kaum ein großer Unterschied. Statt Z-Header muss man einfach Ad-Header schreiben und dann ist es, der Rest ist das gleiche. Also macht keinen Unterschied. Also die meisten Leute setzen wahrscheinlich Apache oder Endings ein. Ich bin alt und deswegen setzt sich noch ein Apache ein und bin halt damit groß geworden, deswegen Apache. Genau, bei Apache was läuft denn normalerweise? Der ist halt eine Regel HTTP und HTTPS. Und na ja, man macht ja schon mal erst keine Krypto über HTTP. Das ist ja auch da nicht vorgesehen. Aber man kann trotzdem schon mal etwas tun damit, wenn Leute eine HTTP-Verbindung zu einem aufbauen, dass ein bisschen sicherer ist. Ja, und da haben sich Leute nämlich folgende Sachen überlegt, HTTP-Header-Extensions. Das heißt, es sind einfach HTTP-Header, die in den Requesten mit reinkommen. Und das sind die, die da an der Zahl. X-Frame-Options, X-Content-Type-Options, XSS-Protection und X-Content-Type-Options. Und was sie so machen, wollte ich eigentlich jetzt gerade irgendwie drauf eingehen, aber da gibt es später noch einen besseren Talk, habe ich gesehen, im Programm, der von Eve um 17.30 Uhr, aber den werde ich nachher nochmal kurz drauf eingehen. Aber deswegen gebe ich jetzt hier noch eine Übersicht, was die Dinge überhaupt machen. Also X-Frame-Options, das ist dazu da. Diese HTTP-Header werden von modernen Browsern ausgewertet und triggern da irgendwelche Mechanismen, die halt dann irgendwelche Sachen sicherer machen. Also zum Beispiel X-Frame-Options, der versucht halt, der Browser dann seine Click-Checking-Attacke-Engine einzuschalten und zu sagen, oh, da will jemand irgendwie was über ein Button legen und du klickst dann drauf und klickst eigentlich auf das, was jemand anders dahin gelegt hat. Das soll dann nämlich ziehst, weil es drüber liegt und transparent ist und nicht auf dem Button drunter eigentlich. Also das ist so Click-Checking. Das heißt, man versucht halt irgendwie, klicks irgendwo anders hinzulenken, wo sie eigentlich hin sollen. Und moderne Browser verstehen das in der Regel, was du anklicken willst. Und dann kann man halt eben diese Engine einschalten und das geht halt über diesen extra HDDP-Header. X-Content-Type-Options ist gegen MindType-Sniffing. Das ist vor allem dann interessant, wenn man sowas hat wie, naja, da ist ein Bild, das heißt Test.JPEG und da ist aber Javascript drin. Die moderne Browser würden da irgendwie versuchen, erstmal das Bild zu laden, merken, oh, es sei Javascript, sondern es ist Javascript-Evaluieren. Das blöd. Weil kann man machen, aber ist halt nicht so toll. Aber in der Regel kommt dann halt vom HDDP-Header, vom Webster, wird gesagt, das ist ein Bild und das hast du als Bild zu interpretieren. Und wenn es kein Bild ist, dann Pech. Also da wird halt einfach der MindTap noch mitgeschickt und das wird halt auf den Strict MindTap geachtet. XSS Protection ist eben sowas ähnliches wie diese Click-Checking-Aktion. Das ist eine eingebaute Routine in den Browsern. So ob ich glaube auf Firefox 40 und Chrome auch irgendwas um die 40 rum, sollten die eigentlich alle drin sein. Genau wann sie irgendwann mal welches Feature eingebaut haben, weiß ich gerade nicht auswendig. Aber also aktuell auf dem Markt der händlichen Browser tun das. Ich glaube der Internet Explorer hat noch mal wie die übliche ein paar Probleme, aber da heißt es jetzt nicht mehr so, da ist jetzt ein Edge. Naja, okay. Und dann gibt es noch X-Content-Type-Options. Da kann ich ja eine Liste angeben von Domains, wo ich Zeugs nachlade, also seien das Bilder, Javascript-Objekte, Frames etc. Und die hat es halt auch hinsicht, deswegen ... Ah, sorry, ich kann noch eine Folie dazwischen. Ich komme erst mal auf die anderen Optionen, was gibt es denn da so und wie sehen die so aus? Immer Patches sieht es halt aus, du setzt einfach pro Domain, Subdomain, was auch immer. Also in der Regel wird schon Horst bei euch entsprechend Header always set, einfach mit da rein in die Konfig. Und da gibt es halt diese Optionen für X-Frame-Options. Da gibt es nämlich nur eine, die heißt, da gibt es die deny, same origin, allow from und dann halt den Url. Das heißt, da kannst du halt irgendwelche Frames einbetten, also entweder same origin, das heißt von der eigenen Webseite, deny überhaupt keine iFrames von irgendwo und allow from, naja, du willst vielleicht Google Maps einbinden oder YouTube. Das heißt, du kannst ihm da eine Liste geben an Domains, die erlaubt sind und alle anderen würde er nicht erlauben dann der Browser, würde sagen, ne, lade ich nicht. Also wenn jemand die Seite dann hijacked und dann halt irgendwas drüber trimelt, würde er nicht laden, weil es vorher über den HDPR, der schon verboten ist. Genau, die XSS Protection, die kann man an oder ausschalten. Das ist eine super Option, also ... Die folgt diese nämlich aus. Also deswegen 1 und da gibt es noch Mode, gleich Block. Das heißt, naja, wenn er irgendwie eine XSS Schwachstelle findet, dann würde er halt den Content da nicht laden. Also das macht schon Sinn, das so auf das zu setzen. Und genau die X Content Type Option, da gibt es nur eigentlich heißt no sniff, wenn man die setzt, man sonst, was das. Ja, die letzte da, X Content Type Options, da muss man ein bisschen aufpassen, weil damit kann man sich nämlich selber schnell ins Knie schießen. Dann sieht nämlich auf einmal die Webseite sehr komisch aus. Also ich habe, als ich da damit rumgespielt habe, habe ich natürlich erstmal was vergessen. Und dann habe ich mich bewundert, warum meine Webseite so aussieht wie MosaIC 1.0. Also, weil hat kein CSS, kein JavaScript, keine Bilder, nix geladen sind, nur plain HTML. Also deswegen, wenn ihr das auf den Produktivsystem macht, testet das vorher. Das Problem ist, das macht er auch pro Url. Ja, und so sieht es aus. Also so kann man mal so eine Liste angeben. Had always said Content, bla, bla, bla. Default Source, das ist eigentlich das Wichtigste, weil die anderen sind optional. Also das nächste, wenn dann so Script Source, Image Source, Frame Source und so weiter, kann da eigentlich genau festlegen, wo ich was nachlade. Aber wenn ihr eins nicht setzt, dann kommt bei Default Source nach. Und ihr habt es vielleicht ein bisschen mit JavaScript, da gibt es ja diese Domains. Also ich meine, ich kann immer von der eigenen Domain Zeugs nachladen, aber von Freunden nicht. Also sollte man jedenfalls nicht. Und deswegen gibt es da Self. Self ist immer die eigene Webseite. Also wenn das jetzt hier www.nurtonert.org ist, dann ist es genau die. Und wenn ich halt den entsprechenden Bilder oder CSS oder fonts auf Bilder, CSS, fonts.nurtonert.org habe, dann erschlage ich das mit dem Stern. Das ist dann halt eigentlich meine Subdomains. Das Problem ist Stern, da war ja dann auch www.nurtonert.org drin. Das ist aber nicht Self. Ich hatte am Anfang natürlich nur Stern dastehen, weil ich gedacht habe, das reicht. Nope. Dann sieht eure Webseite sehr lustig aus. Gut, aber wie kann man das debanken? Weil das Problem ist ja, wenn ihr das jetzt zwar auf der Startseite macht und ihr ladet das mal, dann bekommt ihr eben entsprechend auch nur das, was auf der Startseite zu sehen ist. Zum Beispiel irgendwie fünf Seiten unten drunter, irgendwo bei Wegbeschreibung Google Maps eingebunden und habt es vergessen. Dann klickt einer auf die Wegbeschreibung und dann lädt er nichts mehr. Das ist halt irgendwie blöd. Kein USM, kein, was auch immer, kein Google Maps, kein YouTube, kein Vimeo, was man halt irgendwie so einbindet, ist dann auf einmal weg. Das heißt, man muss wirklich seine Webseiten mal komplett durchgehen und auch schauen, ob nicht irgendwo im letzten Winkel nicht noch irgendwas eingebunden wird, bevor ihr das jetzt allerdings tut. Es gibt die gleiche in Hedder noch mal als mit Bündnis durch Report Only. Setz den erst. Was dann nämlich passiert ist, diese Webseite lädt ganz normal, bindet alles ein, aber ihr kriegt auf der entsprechend Developer-Konsolien Output. Das ist halt irgendwie, das Zeug ist nicht lädt. Also für den Kunden sieht es dann nicht gleich kaputt aus, sondern halt alles in Ordnung, aber der entsprechende Backend-Entwickler oder Frontend-Entwickler kann halt nochmal nachgucken, aber nicht irgendwas übersehen hat. Und es dann dem Admin sagen, der dann das entsprechend in die Config mit reinschreibt. Es gibt auch den Parameter Report Goody. Da kann man dann auch irgendwo eine Adresse hinterlassen, wo er dann so ein Chasen hinlegt, was er alles findet. Aber wie schon gesagt, da will ich eigentlich nicht weiter drauf eingehen, weil da gibt es nachher die Folie. IF wird das wohl nachher nochmal genauer erklären, um 17.30 Uhr. Hab ich gesehen, dass er das wohl macht. Also wenn ihr euch für diese ganzen neuen HDDP-Header interessiert, schaut bei IF vorbei. Genau. So, jetzt kommen wir zu dieser hübschen SSL-Geschichte. Jetzt hat man seine HDDP zumindest schon etwas abgesichert, aber sobald ich irgendwo ein Passwort oder ähnlichem drum und dran was eingeben will, dann möchte ich schon, dass es irgendwie Krypto ist. Also ich möchte irgendwie Passwort, der nicht über ein Plaintext-Formular irgendwie übers Web schreien, das macht man einfach nicht. Geschweige den in irgendeinem offenen W-Lands und tut man einfach nicht, das heißt so Logging-Formular und sobald irgendwas ist, sollte HDDP-S sein. Und, na ja, das letzte Jahr war ja ziemlich spannend, was irgendwie HDDP-S und TLS und so weiter angelangt hat, da ist ja OpenSSL öfters mal kaputt gegangen und na ja, die entsprechenden Implimitationen hatten dann auch ein paar Probleme und dann gab es irgendwie auch nochmal neue Forks und einen drum und dran. Ich kenne das, ich glaube, ich brauche das nicht erzählen. Hier sind nochmal auch ganz neue Logos, die es so gibt, weil jede SSL-Geschichte hat natürlich jetzt einen coolen Namen, eine Webseite und ein Logo, das ist, finde ich cool. Macht Spaß, weil dann kann man nämlich sich immer, genau, das war das mit dem Pinguin auf dem Logo. Ah, das stimmt. Die Namen merkt sich doch eh keiner. Okay, aber Beast, Lockchain, Poodle, dann ist aber Drown und Hardbleed. Also die gab es ja in den letzten Jahren und dann möchte man trotzdem da wegen des Sicherhaben. Deswegen möchte man natürlich jetzt irgendwie sein Apache oder was auch immer man da fährt, so absichern, dass halt eben möglichst diese Sachen nicht fährt, wo diese Attacken draufgehen. Ja, das möchte man nicht. Und bevor ich dazu komme, gibt es nämlich noch zwei weitere HDDP-Header, die nur für SSL sind. Die werde ich euch nicht vorenthalten. Und zwar einmal Strict Transport Security und einmal Public Heapins. Das eine ist, naja, wenn ich irgendwie auf eine Webseite gehe, dann lädt er nur Sachen von, weiß Gott, wonach über HDPS. Ja, das heißt, auch wenn ich irgendwo in meinem Source drinstehe, Image Source, gleich irgendein Content Distribution Netzwerk, Bildpunjard Pack, dann würde er das nicht laden, weil es nicht HDPS ist. Ja, das heißt, der sagt halt im Browser, du letzt, alles quer bieten, nur noch bei HDPS nach. Das finde ich total sinnvoll, das zu setzen. Also, ansonsten hat man sowieso immer diese Mixed Content Probleme. Ihr kommt das Problem, dass dann oben noch so ein Dreieck auf einmal mit dem Ausgubizzeichen irgendwie in der Browserbar ist, mit von wegen, du letzt davon, weiß Gott, wo noch irgendwie ein Secure Content nach. Und wenn das halt irgendwie wieder irgendjemand ist, der gerade Blödsinn betreibt, dann kann er das alles mitlesen, weil er eine Session bei euch hat. Blöd. Genau, und Public Keypinning. Also, man kann in dem HDP-Header schon mal den Fingerprint von seinem SSL-Zertifikat mit schicken. Ja. Das heißt, so kleinere, mannende Mittelattacken umgeh ich dadurch, weil sobald ja die mannende Mittelattacke, zum Beispiel in einem Hotelwählern oder so was, wenn da irgendwie irgendjemand, das habe ich auch drin gesehen, das passiert, dann würde er da zumindest sagen, du, das SSL-Zertifikat da, das passt irgendwie nicht, dass da irgendwie zu der Webseite ausgeliefert wird, da in deinem Header steht ein anderer Fingerprint. Wenn das natürlich jetzt more sophisticated mannende Mittel ist, schau, dass ich den Content natürlich ab und ersetze den Fingerprint auch. Also, bringt nicht viel, aber an mannen Stellen und je nachdem, ob du halt jemanden da sitzen lässt, der nicht so viel Ahnung davon hat oder jemand, der es gleich richtig macht. Wenn jemand, der es gleich richtig macht in SSL in den Mitteln wird, wird es sowieso sehr schwierig rauszufinden, ob da wirklich alles koscher ist. Außer man macht halt da nochmal externen Zertifikatpenning oder man benutzt ein Google-Zertifikat und dann sagt dann der Browser von wegen, also das ist, Chrome macht das ja zumindest, dass er da nochmal nachguckt, wenn er dort kommen ist, weil es noch im Browser steckt und der dann merkt, wenn das auf einmal was anders ist. Aber es wird dann sehr schwer. Okay, wie sieht er aus? Also, dieser Transport Security ist total einfach, da sagt man einfach, boah, den schalte ich jetzt mal an und meine eigene Subdomains möchte ich natürlich mit inkluden und preload es auch erlaubt und irgendein so Cashwert noch. Also ich kann den auf Null setzen, das ist ja mit Blödsinn, dann am nächsten Tag, wenn ich den Browser noch offen habe und bei Amazon doch aufbestellen klicke, dann ist das schon ausgelaufen. Das heißt, das ist so ein guter Defaultwert, ich glaube es sind im Sekunden, der Wert, das ist schon ein dauert ein Stückchen, lange die Regel halt gilt. Das ist glaube ich auch die Default, was empfohlen wird. Und auch da gibt es halt eben wieder die entsprechenden Aufpassenregeln. Also da kann man sich auch sehr schnell die Seite auf Amazon gar nicht mehr. Das ist halt, wenn man genau dieses Fingerprinting einschaltet und die Subdomains vergisst. Also wenn dann Subdomain, Bilderpunkt, Domain, TLT, halt auch ein eigenes SSL-Zertifikat hat, wie zum Beispiel Bylet's Encrypt. Da hatten wir dem Subdomain ja mittlerweile ein eigenes Zertifikat, weil Stan wird ja nicht erlaubt. Dann muss man natürlich die entsprechenden Fingerprints von den Zertifikaten auch mitladen. Sonst klappt das nicht. Aber das ist eigentlich kein Problem, man kann da einfach mehrere Fingerprints damit reinbauen und dann tut das. Wie kriegt man so ein Fingerprint? Das ist ein bisschen aufwendig und zwar ist es da drüber. Also oben ist es L, blah blah blah, da sind das und dann wird auch noch ein gutes altes Default-Mart verwendet und dann das Ganze in Base 64 und dann da einfach damit reingeschrieben. Das ist natürlich jetzt für einen Admin aufwendig. Ich meine gut, man kann es krypten, man kann es auch mit einem Kron mit reinschreiben, aber man muss halt jedes Mal seine Web-Saver-Konfig dann anpassen, damit halt der neue Fingerprint mit drinsteht und dann... Ich finde, es macht halt nicht viel Spaß, ehrlich gesagt. Also ich setze es nicht ein, gerade eben aus dem Grund von wegen, naja, wenn niemand SSL in den Mittel macht, kann ich es damit nicht abwehren und ich habe sonst noch einen Hayden-Konfigurationsaufwand. Das ist auch der Unterschied, weswegen die Web-Saver dann halt A plus hat, anstatt A plus plus. Aber ich kann mit A plus leben. Wie sieht es eigentlich außen mal patche? Was muss ich konfigurieren und welche TLS-Cypher und so weiter setze ich denn ein, damit ich da so ein A plus-Rating kriege? Okay, erstmal sagt man, benutzt doch mal SSL, klar. Dann sagt man, benutzt doch alle SSL-Protokolle außer V2 und V3. Dann hat eigentlich nur noch TLS-V1 und 1, 2 und so weiter übrig. Und dann soll eben die möglichst die Cypher-Order irgendwie einhalten. Das heißt, die stärkeren nach vorne und die schwächeren hinten. Und dann soll halt eben, wenn ein Client kommt und dann ein Handshake versucht, dann wird ja erst normalerweise die Cypher-Suit ausgetauscht und dann sagt er ja, was kannst du denn überhaupt? Sollte eine Liste und dann, ah, den kann ich auch und der soll halt möglichst weit oben stehen. Dann sollte man hier irgendwie SSL-Compression ausschalten, weil das hat irgendwie ja zugeführt, dass man ja irgendwie so Timing-Attacken noch laufen lassen konnte, weil man irgendwie gemerkt hat von wegen, na ja, wenn das kompressed ist, dann sieht es, da ist ja ein Muster drin und dann kann man da drüber auf den Konto schließen. Side-Channel-Attacken ist halt irgendwie blöd. Und mittlerweile sollte man ja auch sein Diffie-Helmen-Parameter neu generieren. Da gab es ja auch einen entsprechenden Talk auf dem Kongress dazu. Wer den gesehen hat, der weiß, dass man das unbedingt tun sollte. Wer das nicht getan hat, der sollte das schnellstens tun. Weil da gab es halt auch wieder ein Problem. Meisten Standardimplementierungen hatten halt einfach ein vorgefertigtes Diffie-Helmen-Parameter-Set und das ist halt eigentlich schon bekannt. Das heißt, Ja, ja, das auch. Also war bekannt und zu klein. Genau. Und man soll mittlerweile möglichst mehr sein. Es war bekannt. Ja. Und viele Implementationen, die halt irgendwie SSL hatten, die hatten das dann einfach übernommen und dann waren halt überall die gleichen DH-Parameter. Das ist natürlich schlecht. Generiert die neu. Und jetzt kommen wir zu dieser Cypher-List. Ich weiß ja nicht, wie viele Stunden haben ihr da schon mal dran verbracht, eure Cypher-Listen durchzugehen und möglichst optimale Konfigurationen rauszufinden, wo noch alle möglichen Clients auf eurer Webseite connecten. Aber die hatten mit einem möglichst starken Cypher. Also, okay, zwei, drei Leute hatten das schon probiert, die sitzen dann so im Publikum. Alle anderen, ich habe es auch etwas länger probiert und das ist die Cypher-List, die ich im Moment verwende. Und die führt halt zu einem A-plus-Rating und so ziemlich alle Clients connecten auch. Also, was steht da drin? Okay, meistens Ecliptic Curve, Definial Man und dann halt irgendwie AIS und so weiter. Das ist eigentlich ganz okay. Und dahinten steht halt noch kein MP5 und dies und das. So, das hat eigentlich ganz gut funktioniert und ich weiß nicht, wie lange ich gegoobelt hab, bis ich da so eine sinnvolle Liste hatte. Es gibt, da komme ich später drauf, also, was man da als Cypher-List benutzen könnte und auf die Unterschiede komme ich dann auch noch mal gleich. Also, damit hat man seine Apache dann irgendwie auf SSL. Beim N-Tix sieht es ähnlich aus, also, glaube ich, brauche ich nicht erzählen. So, okay. Jetzt hat man seinen Web-Server dicht und wie sieht es denn aus mit Mail? Wie gesagt, ich bin alt und ich setze irgendwie gern Postfix und so weiter ein. Deswegen, gleich, das ist auch mal für Postfix. Ja, okay. Man sollte halt irgendwie SSL einschalten. Klar, ne? Dann sollte man irgendwie halt eben genau diese Cypher-Listen irgendwo angeben und, ich glaube, steht auf der nächsten Seite, ja, genau da. Aber da sollte man eben entsprechend auch Protokolls angeben, also kein SSLV2, kein SSLV3, keine Compression, eine strong Cypher-List bevorzugen. Etwas, was total komisch ist, sind diese zwei Parameter, die da heißen da 512 Paramfeil und DHL DH5024 Paramfeil. Weil Postfix macht keinen Unterschied zwischen 1024 und größer. Also, da kann auch ein 4096-Bit DH-Parameter-Feil stehen, es ist eben egal. Die Postfix-Leute sagten da halt, nee, net noch einen neuen Parameter. Und haben einfach alles, was größer als 1024 ist, in die Liste da gekippt. Und eigentlich können wir den 512 also es gibt eigentlich nur noch wirklich sehr alte Clients, also ja, war 6, die halt keinen 1024-Bit DH-Parameter können. Also kann man mittlerweile auch wegnehmen. Genau, aber dann ist zumindest der Postfix einigermaßen dicht, was halt so auch Kommunikation zwischen den Mail-Servants anbelangt und auch wenn ihr irgendwie dran drauf zugreift und dann hoffentlich Star-TLS oder TLS generell irgendwie recht mit dem Ding. Hier ist halt eben entsprechend wieder Seifer-Liste und das ist tatsächlich, oh, da ist ein Space zu viel dran, das ist die Seifer-Liste von bettercrypto.org Und den gewieften Zuschauer fällt auf, dass da sowas drinsteht wie plus SSLv3. Aber ich dachte, das will ich nicht. Da geht es ja nun um die Seifer-Liste. Und zwar TLS und SSLv3 haben die Seifer-Listen. Da sind zum Beispiel diese ganzen AES und RSA-Seifers drin. Und damit ich dieses Subsid aktiviere, muss ich da plus SSLv3 ersetzen. Aber oben beim Protokoll-Support SSLv3 abschalten. Okay? Alles klar? Also da geht es nun um die Seifer-Liste und nicht um das Protokoll selbst. Es gibt also das wäre eigentlich das nächste Sinnvollste, dass man das so was macht, aber das gibt es nicht. Genau. Was kann man mit seinen Post-Sticks noch tun? Klar, man kann irgendwie Dane noch aktivieren, was man auch machen sollte. Und natürlich ganz viele andere Services, die irgendwie noch auf DNS zu verifizieren zurückgreifen. Dane halt ich persönlich für sinnvoll, aber Dane hat den großen Nachteil, dass man da auch irgendwie gleich das DNS-Sack braucht und das ist halt immer noch ein bisschen schwierig. Also eigentlich sollte jeder mittlerweile DNS wegfahren, aber ein paar Provider in Deutschland bieten DNS-Sack noch gar nicht an. Was? Gut, deswegen funktioniert es halt immer noch nicht so ganz und solange man halt da keine komplett durchsignete Chain hat, wo man alles nachverfolgen macht, dann macht Dane halt wenig Sinn. Auch weil kann man hier trotzdem als jemand anders ausgeben. Dann möchte man natürlich irgendwie noch dass die Leute sich irgendwie authentifizieren bei einem und nicht einfach irgendwie die Mails so reinkippen, sondern dann halt irgendwie den Usern am Passwort machen und das möglichst irgendwie auch so, dass sie nicht das plain Passwort benutzen, sondern halt irgendein MD5, was auch immer her schicken und nicht das Passwort selbst. Und das kann man irgendwie auch machen. Und dann kann man natürlich noch dk und spf einschalten, wer das irgendwie braucht kann man machen, aber leider, also die beiden Optionen wurden auch eingeführt damit das BAM auch ein bisschen so unter die Kontrolle gekriegt, aber das hat nicht viel geholfen, weil wenn halt so ein Mails so weit gekappert wird, dann schickt halt auch ein signeter Mails so was BAM. Das ist nützt halt nichts, also in der Hinsicht. Ich meine, generell ist es gut, damit man weiß von wegen, okay, es kommt tatsächlich von dem Mailserver und der ist dafür verantwortlich und das passt auch, der dahinter ist gut, aber es nützt halt nichts, wenn dann der Mailserver halt trotzdem irgendwie gekappert wird oder auf der Kiste von der Domain halt irgendwie noch was ist, was BAM, dann kriegt man halt signierte BAM. Ja. Gut. Davkat, das ist das, was wir so als IMAP einsetzen, finde ich eigentlich ganz gut. Ich mag ihn, kann viel und tut einfach. Ich glaube mittlerweile in Susus mittlerweile von Cyrus auf Davkat gewechselt. Also jetzt in der Zwölfers Last Version findet man Cyrus nur noch in den Server Repositories nicht mehr in den Standard Repositories. Also die sind auf Davkat gewechselt, weil halt das Problem ist, dass viele alte IMAP-Kleins halt in der Server halten. Naja, die sind halt schon alt und man maintaint die halt nicht mehr so ganz. Es sind zwar noch einige in Entwicklung und auch noch in Maintenance, aber ich erwarte nicht, dass es da vielleicht immer noch mein nächstes Mal größere Releases noch gibt. Und Davkat steht halt grad immer noch in Entwicklung und da ist grad eine aktive Community dahinter deswegen. Davkat hat sich auch irgendwie auf die Fahne geschrieben, dass er halt in der Default kommt. Aber naja, gut. Für Davkat sieht es halt eben so aus, same shit, SSL anschalten, SSLV3 ausschalten, SSLV2 ausschalten, irgendwie da seine DH-Parameter-Lengs angeben, keine Compression, dann irgendwie dann irgendwann seine eigene ZD-Parfikate reinwürfen und halt noch eine Cypher list. Das war's. Und dann gibt's aber noch ein was, was ein bisschen doof ist. Dies zeige ich euch gleich mal. Na ja, okay. Ganz süß. Ups. So, genau. Folgendes. Ja, wenn ihr nämlich einfach mal auf den Mail server drauf geht, ohne Krypto, dann sagt euch normalerweise der Einmap, was er so an Capabilities hat. Also was er kann. Das ist die Zeile da oben. Ich kann einmal V4 sprechen. Ich kann solche Sachen da machen. Und ich kann StarTales. Ja. Und in dem Moment sollte die eigentlich StarTales sagen. Ab dem Moment. Das Problem ist, das kommt per Plaintext drüber. Und das kann ich wegfiltern. Ja. Und dann macht der Fallback auf normale Authentifikationen. Ich kann euer Passwort mitlesen. Ja. Das heißt, so lange kein StarTales macht, erlaubt euch euch kein Login. Ja. Da gibt es noch eine Option im Dorfcard, die man explizit erst einschalten muss. Also der Default-Wert ist glaube ich true, aber man muss es auf ja, wirklich, ich will nur das Krypto haben, sonst nix. Ja, das ist glaube ich, den Wert habe ich jetzt vergessen, aber ich werde es dann auf die Bemerkungen noch zu finden sind. Genau. Logout. Genau. Ja, wenn natürlich der Klein der Meinung ist, boah, er sieht kein StarTales und versucht trotzdem aus und schickt das Passwort dann eigentlich die, also die Default-Konfiguration sagt, wenn er halt liest Login disabled, sollte der Klein eigentlich sagen, okay, ich probiere es gar nicht. Es gibt aber ein paar kaputte Clients, die da sind die, ja. Genau, das ist nicht das Problem. Wenn ich das StarTales wegfiltern kann, kann ich das Login disabled auch wegfiltern. Also das ist halt dann sinnvoll, deswegen sollte man sagt er halt der Default-Kat wirklich erbaut kann Verbindung auf, wenn da nicht irgendwie danach ein StarTales kommt. Also der versucht dann halt der Default-Kat zu sagen, nee, vergesst es und sagt dann auch connection closed. Ja, also da reagiert der Server gar nicht sinnvoll. Wer irgendein Provider kam es mal zu genau dem Problem, dass ein Feature eingeschalten wurde und genau die halt aus allen Verbindungen StarTales weggefiltert haben. Das war vielleicht vor ein paar Jahren mal. Aber es wurde, ich stand noch auf Heise und so weiter. Ich glaube es wurde mittlerweile gefixt, aber ja, überschrieben, ne? Irgendwas war da. Deswegen besser, besser nochmal nachgucken und auch den Servers. Ob sich dann gar keine unverschlüsselten Verbindungen mehr zulässt. Dann passiert das auch nicht, dass man aus dem Sinn mal so ein StarTales überschreibt durch nix. Ja, wir haben noch ein Jabba laufen. Ich möchte hier auch nochmal aufrufen. Es gibt ein Jabba CDE, aber die sagen das ja auch. Bitte installiere ich selber ein eigenes Jabba und dezentralisiert eure Infrastruktur. Wenn man das irgendwie kann, der soll das bitte tun. Bin ich auch ein großer Fan davon. Solange ihr miteinander untereinander verschlüsselt redet, ist das ja ganz in Ordnung. Und wenn dann halt Jabba CDE mal wieder weg ist, dann ist es nicht ganz so schlimm, weil man hat ja seinen eigenen. Ich sitze da ein eJabba die ein, weil der halt von der Feature-Liste und was halt so alles kann mit das so ja schon irgendwie das Beste mit auf dem Markt, dass es gibt noch andere. Ich habe damals ein eJabba die gewählt und sind dabei geblieben. Da sieht es dann ähnlich aus, also Konfigurationen, die entsprechende Cypher-List habe ich mir jetzt glaube ich auch nochmal gespart. Also kann man auch angeben. Genau, dabei Cypher ist in den Klammern, dann steht die dann und dann ist es gut. Bei Jabba gibt es 2 Sachen, auf die man achten muss. Das eine ist halt irgendwie Clients, die mit dem Jabba Server-Connect sollten SSL sprechen und das ist nämlich der Port 522 in Default, das ist das entsprechende Klein-To-Server-Modul und da kann man das eben alles eintragen. Und es gibt noch den Port 5269, das ist das Server-To-Server-Protokoll. Das heißt, da möchtest du normalerweise auch nicht das andere Server dann irgendwie keine Krypto mit dir reden, das war toll, dass du dann zu deinem Client, zu deinem Server dann halt irgendwie das, was du nicht so über die Leitung blasen willst, zwar verschlüsselt hinschickst, aber dann halt von deinem Server es aus allen Krypto zu deinem Empfängerserver geht. Das macht irgendwie nicht viel Sinn. Also, weil ab da ist es dann halt wieder unverschlüsselt und blöd. Deswegen Server-To-Server-Connections auch bitte verschlüsselt. Jeder modernere Java-Server kann das in der Regel, wenn nicht, dann will ich auch nicht mit ihm reden. Also so sehe ich das halt. Ich war schon teilweise überlegen, ob ich auch nicht bei unseren E-Mail-Sachen komplett abschalte. Also, dass nur noch Leute, die per SSL bei mir auftauchen, mit mir reden dürfen. Die großen Web-Mailer und so weiter, also Google, Gmx, also ganze United-Internet weiter, die tun das. Posterio und was es halt noch alles gibt, die tun das auch. Also, die reden Google sowieso und mit anderen will ich eigentlich nicht so richtig reden. Yahoo tut es mittlerweile auch. Also es tut sich was, aber dann man kriegt also weniger Spam, wenn man nur noch auf SSL hört. Also, weil halt viele Standard-Windows ich baue mal irgendwie SMTP-Port auf und schicke darüber Spam, SSL. Also, die kriegt man damit los. Nachteil ist das aber viele Shops, bei denen man irgendwas noch einkauft. So eigentlich freie Shops oder so was. Die haben meistens irgendein Mail-System darunter, dass das halt noch nicht kann. Und dann kriegt man halt seine Bestellbestätigung nicht. Oder Status oder irgendwas. Das ist natürlich blöd. Also, bei einem Mail bin ich mir noch nicht so ganz sicher, ob ich es halt wirklich abdrehe. Ja. Ja, komme ich gleich drauf. Genau, also die Frage war halt, dass eben Defi-Helmen-Parameter mit Yahoo noch ein bisschen so blöd haben. Die aktuelle 8er-Version kann, glaube ich, nur bis 2048 mit DH sprechen. Und wenn man da natürlich irgendwie was aus sichem Mail-System darunter hat, dass da irgendwie Yahoo benutzt, dann ja, gut, ja, benutzt Yahoo. Andere Sache ist Enterprise und dann kommt halt auch keine Mails an. Blöd. Genau, so. Ja, wir haben noch einen eigenen Irkserver-Bonds laufen. Wir haben nur irgendeine Bonds im Channel, so was um die 65 Leute. Und das sind eigentlich Leute, mit denen wir, die wir alle kennen. Und deswegen möchten wir da auch irgendwie mit den Leuten reden. Und dann sollte natürlich auch nur Leute per SSL connecten und gut ist. Nachteil an Irk ist natürlich, das heißt, wenn jemand natürlich ein Log vom Chat macht und das als Text-File auf der Platte speichert und die wird halt mitgenommen, dann bringt mir das natürlich auch nichts. Aber mittlerweile gibt es auch so hübsche Plugins wie UTR für Irk. Es geht auch. Also es gibt ein erstes UTR Plugin und ich glaube, wie Chat kann es mittlerweile auch. Und alles andere sind für mich keine direkten Irk-Klein-Kländen, finde ich, aber persönliche Einstellung. Wie macht man Irk? Da kann man irgendwie komisch wenig einstellen. Eigentlich sagt man nur, da ist eine SciFer List und da ist mein Zertifikat und einem drum und dran. SSLV2 und SSLV3 abdrehen geht irgendwie nicht. Aber die entsprechenden Attacken, die ja darauf aufbauen, die funktionieren ja so, dass sie sehr viele Request schicken, um dann halt irgendwie Dinge raus zu finden und dann wieder auch abbauen. Beim Irk ist es allerdings so, dass jemand mit vielen Request pro Sekunde kommt und die wieder abbaut, sagt der Irkserver, du hast hier wohl nicht mal alle verpiss dich. Also da funktioniert die Attacki einfach vom Irk-Protokoll her nicht. Ist nicht wie der Apache, der halt irgendwie darauf ausgelegt wird, viele Requestes aufzunehmen, die kurz was Daten auszutauschen und wieder abzubauen, sondern beim Irk ist man darauf aufgesetzt, dass er so halt erbaut eine Verbindung auf und die ist dann da und bleibt dann auch da deswegen in Flatt und dann macht der Irkserver einfach, also deswegen funktionieren die Attacken da dann auch nicht so richtig. Weil das habe ich mir auch gedacht, wieso kann ich da das LV2 und V3 nicht abdrehen und da diese entsprechenden Downsize Attacken dann eben abwehren, dann ist mir aufgefallen, das muss ich gar nicht, weil einfach das Irk-Protokoll so ist. Gut. Anmerkungen. Wo habe ich den ganzen Krams her und was muss ich noch so tun. Also, das hatten wir erst weil ich habe den Talk erst vor ein paar Wochen gehalten und da kam nämlich genau die Ankündigung raus, das war, du solltest sein wieder dein Opener, das sei mal wieder updaten, haben wir dann auch hoffentlich alle gemacht, also ist auch passiert, war aber dann im Nachhinein glaube ich doch jetzt nicht so schlimm, es war nur rot und nicht tiefrot, aber ja, ich glaube, es war was war es, es war nicht critical, es war irgendwie nur high. Aber wir hatten ja noch mal diese Cypher-Liste, die ich da irgendwo von Better Crypto geklaut habe und meine und ich wollte jetzt einfach mal wissen, was ist so der Diff zwischen den beiden welche Cypher fliegen raus, welche Cypher kommen rein. Das ist der Ansatz. Also die von Better Crypto kommen diese ganzen Grünen dazu und die Roten fliegen raus. Also, ihr habt dann eine größere Cypher-Liste Unterstützung, vor allem halt irgendwie RSA, WIFT, AES, CBC und so weiter und halt irgendwie so diese GCM und so weiter und ich glaube, letzte Woche war das. Da hat der Hano Berg und der Aaron Zauner haben dann irgendwie gemeint, wir haben da so ein Paper und naja, GCM ist irgendwie angreifbar, also gut, dass ich die glaube ich nicht drin hab. Also weiß nicht, war halt irgendwie Zufall. Ich weiß auch nicht genau, wie stark der Impact, da im Moment ist es bin noch nicht dazugekommen, das Paper zu lesen, aber es geht halt darum, dass man halt irgendwie beim Verbindungsaufbau, den entsprechenden Daten wieder eventuell rausfindet und dann ist es halt gebrochen. Weil eben glaube ich von der RFC nicht genau definiert wurde, wie du diese Nonces, die man braucht am Anfang generiert. Die sollten halt irgendwie random sein, haben sie aber irgendwie nicht, nicht gesagt, wie genau die random sein müssen und dann haben halt Leute einfach, naja, kannst schon mal vorkommen, dass das gleiche Nonce wieder vorkommt und das ist blöd. Ja genau, number only used once, aber die Nummer tauchen halt dann irgendwie doppelt auf, also blöd. Kann man das Paper nachlesen. So, ich wollte noch ein paar Sachen noch auf der Kommandozeile zeigen. Deswegen geht es erstmal hier mein generelle Dank an euch, das Publikum, die da waren und sich das ist mein Geschmarrin natürlich jetzt hier aufgehalten haben. Und auch vor allem aber auf den, die GPN Organisatoren. Das Foto ist 10 Jahre alt. Solange bin ich schon auf der GPN und das war die GPN 5, also das Foto habe ich von Skyler geklaut und 10 Jahre GPN ist so geil. Also danke an die GPN Organisatoren und da habe ich noch so die entsprechenden Daten her, also bei der Crypto.org, da muss ich auch ein großes Danke an die freiwilligen Autoren sagen, die sich dahin setzen und ProService ein Artikel schreiben, warum du das so und so einrichten musst. Also schon echt gut, wenn ihr davon habt, schreibt damit, kann ich nur aufrufen, das ganze Zeit die Dokumentation liegt auf GitHub auch rum, könnt ihr dann einfach einen Fog machen oder eben ein Pull Request und dann bauen die das in das Dokument mit ein. Also echt coole Sache. Es ist Ellaps natürlich, weil benutzt man ja gern und SecurityHeaders.io für diese ganzen neuen hübschen SecurityHeaders und da gerade im Scott Helme, der halt diese Webseite mitprogrammiert hat und auch diese SecurityHeaders machen. So, das war's. Ja, es Ellaps und so weiter ist cool, ich zeig noch kurz auf der Kommando-Zeile und dann komme ich auf Fragen, aber das Problem ist, wie kriegt man eigentlich jetzt, ich meine, es Ellaps gern halt nur HTTPS. Das heißt, wie kriege ich jetzt zum Beispiel so eine Cypher-List von Services zum Beispiel wie IMAP und da brauche ich mal schnell mal ein Terminal, das ich jetzt natürlich wieder zugemacht habe, sehr clever. Und da gibt's ein hübsches Programm, das heißt SSL Scan, es ist ein Python geschrieben und verheent. Und da kann ich einfach mal gucken und dann einfach auch, was ist das 465. Ich hoffe, ich hab Netz. Ja, genau. Und dann können wir mal eben da die entsprechenden Cypher, die dann funktionieren würden. Plus halt irgendwie noch das entsprechende Zertifikat. So können die auch mal alle anderen Services, die irgendwie SSL-Sprechen einfach mal durchscannen und gucken, ob soweit, wie das funktioniert. Also kann ich auch sehr empfehlen das Tool. Und jetzt komme ich noch zu diesem SS Scan das ist, wenn man jetzt einfach mal da eine Domain eingibt, wie zum Beispiel was soll ich jetzt eingeben, in unseren Webserver. Da kriegt man eben A plus und dann kann man sich das auch mal im genaueren Detail angucken. Da schneidet da ein bisschen was ab. Genau. Da kriegt man so ein Rating. Was was bedeutet? Also wie stark das Zertifikat ist, welchen Protokollsupport man hat, Key Exchange und so weiter. Und da kommt irgendwie das Zertifikat. Und das was interessant ist, also das ist mittlerweile auch Collection Script, da wird halt irgendwie gesagt, was für Protokoll wie man spricht, da sieht man da ja auch kein Gespräch in TLS, aber kein altes SSL mehr. Und hier kommt praktisch auch dann welche Cypher Suite nicht unterstützt. Also so kann man das auch nochmal scanen, vor allem mit welchen Defi-Helmen- Parametern und so weiter. Kriegt man alles mit und ob man auch irgendwie Forward Security macht. Also dazu braucht man die ja. Was ich total toll finde ist diese Option hier, dass man halt eben sieht von wegen was für Geräte können denn mit den aktuellen SSL-Einstellungen noch auf die Webseite zugreifen und welchen Cypher würden sie verwenden. Dann sieht man, okay, tatsächlich Android 237 kann noch unsere Webseite besuchen. Das klappt noch, aber weiter unten zum Beispiel also IE 6 hat keine Chance mehr. Genauso ist gleich mit IE 8 das wird nicht funktionieren und da hatten wir auch dieses Problem Java 6 und Java 7 können keine Defi-Helmen-Parameter größer 1024 Bit. Das funktioniert dann halt auch nicht. Würden aber dann halt irgendwie versuchen, über den anderen Cypher noch drauf zu greifen, wenn es geht. Java 8 kann TLS 1, 2 glaube ich das heißt Update 31. Das sieht eigentlich ganz gut aus. So können im Moment fast alle wirklich alte Kisten auf unsere Webseiten und da irgendwie sinnvoll SSL sprechen. Unten kriegt man noch ein bisschen so Statistik ob man irgendwie gegen Harbleed und Pudelattack geschützt ist. Wer das Tool noch nicht kennt, soll das mal ausprobieren. Es gibt viel, viel interessante Sachen. Ich habe auch mal die Webseite von klar.de das ist die Webseite vom Ralf. Mal angeguckt, weil der unterstützt nämlich nur ein Cypher und das coole ist der hat eine höhere Cypher-Strains. Also wenn man erstmal vergleist ich habe da irgendwie sowas wie 90 und er hatte irgendwas von 100. Da dachte ich mir, oh mein Gott was benutzt er da eigentlich und das habe ich natürlich dann versucht mal rauszufinden ob man das Cypher benutzt. Den da. Und zwar nur den. Okay. Der ist sicher, aber es hat nicht sehr viel Auswahl. Wenn der halt irgendwie broken ist dann ja auch blöd. Okay, aber Android 2.3 kann nicht mehr drauf. Dann irgendwie okay, das und die üblichen halt IE6, IE8 und das ganze Jahr war Kramsel und der alte OpenSL kann nicht mehr. Aber das ist halt leider noch bei vielen Leuten Einsatz. Also gerade bei den ja ja, das ist diese ganze Red Hat Server Suze Server die sind Debian auch teilweise noch also ich glaube jetzt, ich glaube auch Weezie nicht mehr, aber Old Story natürlich. Wo läuft denn noch Old Story? Überall. Ich kann noch so viel Kisten in Old Story laufen. Kann man machen. Ich habe halt noch ein paar andere Beispiele, also ZZT.de ist auch okay. Ah, funktioniert. Aber Events ZZT.de sieht schon ein bisschen anders aus. Also die verwenden jetzt auch mittlerweile diese Header. Aber daran, dass das WordPress mittlerweilig drunter selber macht. Also es ist manche Content Management Systeme sind schon hergegangen und schicken die Header auch mittlerweile bevor sie die eigentliche Webseite schicken, da kann man die ja mit einbauen. Also clever. Ist okay. Macht aber halt irgendwie noch so ein paar andere Sachen halt nicht an. Deswegen gibt es ja nun C-Rating. Ups, das wollte ich nicht. Das hier ist auch nicht auf harte DPS. Und so sollte es eigentlich zumindest für harte DPS aussehen. Und so zieht es halt eigentlich für harte DPS aus. Und da habe ich halt wie schon gesagt dieses Public Keypinning, habe ich einfach nicht eingeschalten, weil das ist mir jetzt aufwendig und das bringt meiner Meinung nach nicht viel. Gut. Jetzt Fragen. Ja, also die Frage war, gibt es Test-Tools, die Star-Tales unterstützen? Ja. Und zwar ist das Tool OpenSSL. Ja. Also ich meine, was macht denn das SSL-Scan? Das macht ja auch nichts anders als OpenSSL aufrufen mit den entsprechenden Parameter. Probier doch mal den und den Cypher. Im Prinzip musstest du selber skripten, aber oder halt den Code von SSL-Scan angucken und dann nur Star-Tales drauf implementieren. Also sollte genauso funktionieren. Ja. Aber wie schon gesagt, du kannst halt einfach auch OpenSSL sagen, hier diese Cypher-List habe ich, probier die mal durch und gib ein Report. Das geht auch. Also OpenSSL kann das direkt selbst. Also das ist halt die Hardcore-Variante, weil man halt so viel Debock-Output noch kriegt, aber da kann man da entsprechend irgendwie drauf grappen. Ja. Und andere Fragen noch? Ja. Also die Frage war, gibt es noch einen Grund, hatte TP zu erlauben? Ja, den gibt es. Meiner Meinung nach die erste Antwort dazu ist, du brauchst es für Let's Entrypt. Weil der fragt nämlich so Domain-Authentifizierung, dementsprechend hatte TP deine Domain ab. Aber ansonsten wenn es jetzt irgendwie nur eine Website ist, wo drauf steht von wegen Boa ich möchte da mal wissen, wo es ist, reicht hatte TP. Solang keine sensitive Information oder so was wichtig ist oder jemand sich einloggt und es nur Static Content ist, wo irgendwas steht. Man könnte natürlich sagen, wenn da jetzt jemand mithorcht, dann könnte man sehen, wer die Webseiten aufruft und welche Urls und allem drum und dran drunter, sodass man generell hatte TP. Immer machen sollte, damit er doch nicht sieht, wenn ich die Webseite aufrufe, wenn er aufrufen wird auf der Webseite. Aber ich persönlich sehe es halt so, es geht noch, man muss auch manchmal irgendwie kommen in Situationen, wo hatte TP es auch einfach nicht geht. Also ich kenne da zum Beispiel so Flughafen, WLANs, die halt dann gerade eben eine SSR-Proxy dazwischen haben oder eben die Great Chinese Firewall, die manchmal welche Webseiten auf hatte TP und wenn es halt nur darum geht, mal die Adresse oder irgendwas schnell nachzugucken, Text, kommt man halt da zumindest noch hin. Das so generell bin ich eigentlich auch eher dafür, alles SSL zu machen, aber klappt noch nicht ganz. Da müssen wir noch länger daran arbeiten. Ja, ansonsten sage ich nochmal Danke fürs Zuhören und ich bin noch draußen, wir können auch gerne noch ein bisschen trinken und dann irgendwie diskutieren noch mal an.