George, ELBA und viele andere Banking-Apps mit LineageOS nutzen

Update 18.09.: Potentiell beleidigende Begriffe wurden entfernt.

Ich mag aus Prinzip kein Stock-Android. Die Updates kommen erst irgendwann, die Entwicklung wird nach Indien und in andere Niedriglohnländer ausgelagert und die spionierenden Google-Play-Services möchte ich gar nicht erst in meine Nähe lassen.

Nun gibt es damit ein kleines Problem, leider benötigen immer mehr Apps das sogenannte „SafetyNet„, welches für Sicherheit unter Android sorgen soll. Wo es Menschen in der Entwicklung gibt, existieren auch Fehler und Backdoors, somit war es bis jetzt ein leichtes, diese Einschränkungen zu umgehen.

Mir persönlich war auch nie klar, warum Banken dieses Sicherheitsfeature benötigen. Wenn ihr Backend gut ist, kann ich selbst mit den umfangreichsten Rootrechten nichts hacken. Das Online-Webbanking hat sogar größeren Funktionsumfang, aber hier kann ich nach belieben in der JS-Konsole rumfuhrwerken. Aber wehe ich will keine Google-Dienste haben und bin mit LineageOS auf einem besseren Sicherheitsstand wie Stock …

Apropos Google, die lösen halt Sicherheitsprobleme auf ihre Art und Weise. Sie kaufen den Entwickler von Magisk einfach auf, welcher dann aus „jobtechnischen“ Gründen dann natürlich nicht mehr an dem Tool weiterarbeiten kann. Wirkt wie der Novomatic-Deal mit der Glawischnig, wo man sich auch irgendeinen unnötigen Posten ausgedacht hat. (Die Tagespresse konnte die Wahrheit nicht toppen)

Beinahe 5 Jahre nach der Wahl von Donald Trump kommt nun das erste positive Resultat auch zu mir: Der Trump-Huawei-Bann.

Nun kommen wir der Sache schon näher: Durch dieses Dekret darf Huawei keine Google Play (Services) mehr ausliefern. Das brachte den berühmten Geräte-Hersteller unter Zugzwang und somit wurde die Huawei AppGallery geboren.

Auch die österreichischen Banken (übrigens auch Netflix), welche unter Android nur bei Google Play vertreten waren, mussten in der AppGallery neu releasen. Mit einem Vorteil:

Ohne Google Play kein SafetyNet

Somit verfügen die Builds im Huawei-Store über keine SafetyNet-Abfrage, da diese unter den Huawei-Handys gar nicht funktionieren würde. Leider gibt es trotzdem ein paar Einschränkungen:

  • (George-only) Die gewünschte App muss direkt von der Huawei AppGallery heruntergeladen werden
  • (George-only) Die AppGallery darf auch nach der Installation nicht entfernt werden, aber alle Prozesse abwürgen & Berechtigungen entfernen ist okay.
  • Die meisten Apps scannen trotzdem nach SuperSU oder Magisk, somit muss zumindest die App unauffindbar gemacht werden (unbenennen des Paketes etc.). Falls das Gerät nicht gerootet ist, kein Problem.

Doch das Endresultat überzeugt: Die Banking-App funktioniert endlich wie gewünscht und so leicht hat man noch nie knallharte Crypto überlistet. Währenddessen man tausende Android-Benutzer mit SafetyNet-Abfragen nervt, kommt man als vermeintliches Huawei-User einfach ohne irgendwas durch.

Schritt-für-Schritt-Anleitung

  1. Dafür sorgen, dass Magisk/SuperSU nicht erkannt werden kann (Magisk Hide, unrooten, …)
  2. Huawei App Gallery herunterladen
  3. App Gallery ausführen, aber keine Berechtigungen außer die App-Installation freigeben
  4. Gewünschte App suchen:
    1. George (tested)
    2. ELBA (shows warning, works)
    3. BAWAG (not tested)
    4. Bank Austria (works)
    5. weitere Banken (oder selbst suchen)
  5. App über die AppGallery installieren
  6. Dem Schorsch eins Auswischen!

Ich habe außer dem George nichts genau durchgetestet, aber hier funktioniert alles inklusive „Zahlen mit dem Handy“. Ich freue mich über etwaige Erfahrungsberichte per Mail (würde ich dann hier ergänzen) oder in den Kommentaren drunter.

Die Betonierer am Werk – „Entlastungsspange B3“

Manchmal ist man schon ein armer Hund – da lest man sich einmal den neuen Flächenwidmungsplan durch und man stößt wieder auf eine komplett hirnrissige Idee. Das gibt’s doch gar nicht, dass im Jahr 2021 in Krems noch immer die 60er-Jahre vorherrschen.

Gerade haben wir eine Hitzewelle hinter uns, die uns gezeigt hat, wie sehr sich eine zubetonierte Stadt aufheizen kann – aber in Krems lernt man bekanntlich nicht aus seinen Fehlern.

Worum gehts?

Geplante Spange B3 in Krems-Stein

Offensichtlich ist man bei der Stadt Krems und/oder der Landesregierung unglücklich über die Doppelkreisverkehre in Krems, welche insgesamt einen Verkehr von 18.000 Autos/Tag (Nördlicher Kreisverkehr) und 19.000 Autos/Tag (Südlicher Kreisverkehr) aufweisen. Dazu hat man drei Varianten untersucht, bei denen natürlich die Variante ohne Verkehrsberuhigung als Umsetzungsvariante in Betracht gezogen wurde. Kann man ja sich nicht ausdenken, wenn der Platz nicht mehr schirch wäre, da könnte ja die „Freie Fahrt für freie Bürger“ beeinträchtigt werden.

Zu Stoßzeiten kommt es hier schon einmal zu Wartezeiten von ein paar Sekündchen, daher will man hier Abhilfe schaffen und eine Spange bauen, welche die Kreisverkehre um prognostizierte 1500 Autos „entlasten“ wird. Das löst weder ein Stauproblem, noch macht es die Relation schneller, da ja eine neue Ampel geplant wird. Dies bremst natürlich die schwächsten Verkehrsteilnehmer aus und somit wird der Weg für mich als Fußgänger langsamer, während er für die Autofahrer vielleicht schneller, aber wahrscheinlich gleichbleibend wenn nicht sogar langsamer wird.

Rein rechnerisch gesehen kann laut dem Gutachten der Doppelkreisverkehr um etwa 10% entlastet werden, aber nur, wenn die Fußgänger dann von diesen verbannt werden und in eine Brücke oder Unterführung gequetscht werden. Wie in den 70er Jahren versucht man, die „störenden“ Teilnehmer, welche einem beim Autofahren „hindern“, in den Untergrund zu verlagern, während dem Auto der Blick auf die Wachau gegönnt wird.

Es macht überhaupt keinen Sinn, 1250 m² für ein paar Spitzenzeiten zu verbauen, der Zeitverlust für den MIV ist hier sowieso nie mehr als wie eine Minute. Stattdessen ist zu befürchten, dass durch mehr Kapazität noch mehr Verkehr erzeugt wird, was allgemein bekannt ist.

Warum der Yachthafen (links oben ist der Hofer) einen eigenen Anschluss bekommt, wird ein Mysterium bleiben. (Kein besseres Foto verfügbar)

Weiters wird eine Abfahrt (nur von Richtung Wachau) zur Yachthafenstraße vorgesehen, die ist sowieso komplett sinnlos, aber das ist ein Kriterium für Verkehrspolitik in Krems.

Alternative Vorschläge

In dem Gutachten wurde gar nicht berücksichtigt, dass man den Verkehr durch öffentliche Verkehrsmittel wesentlich verringern könnte, etwa mit einer Wiederbelebung der Wachaubahn bspw. durch Elektrifizierung und Durchbindung der Kremser REX direkt nach Spitz. Das würde Mut und Innovationskraft vorraussetzen, in Krems betoniert man lieber eine unnötige Spange.

Baut man die Verkehrswege nicht mehr aus, ist irgendwann eine Belastungsgrenze erreicht, bei der auf andere Verkehrswege umgestiegen wird. In Österreich sind 50% aller Autofahrten kürzer als zwei Kilometer, auch hier muss man die Fuß- und Radmobilität fördern statt wieder mehr Straßen für mehr Verkehr zu bauen, was bekanntlich nicht funktioniert.

Mein Vorschlag ist es, den gesamten Bereich außer die B3 zu beruhigen, bei der die Fußgänger diese mit einer Ampel kreuzen können. Der restliche Bereich ist rückzubauen und zu begrünen, was automatisch zu weniger Verkehr führt. Weiters sollte statt der Fußgängerverkehr der Autoverkehr in den Untergrund wandern, das würde auch die permanente Lärmbelastung von 70 dB reduzieren.

Stellungnahme

Um meine Bedenken auch der Stadt Krems mitteilen zu können, die meinen Blog vermutlich nicht liest (macht ja sonst auch niemand), verfasste ich eine Stellungnahme. Hier stehen auch noch weitere Begründungen für die Ablehnung des Projektes.

Links

Flächenwidmungsplan (Spange ab Seite 29)

Gutachten

Informationen zur Verkehrswende:

Landesnaturschutzverband Baden-Würtemberg

Straßen und Plätze neu denken

Warum neue Straßen mehr Stau verursachen

Rules in Tasmota – Kompressor automatisch nach einer Zeit abschalten

Wir haben zuhause einen Druckluftkompressor, der weiter weg von der Werkstatt steht, damit der Lärm nicht nervt. Der Nachteil davon ist halt, dass zum Ein- und Ausschalten immer zum Kompressor gegangen werden muss, weil kein Schalter damals mit gebaut worden ist. Deshalb will ich dieses Problem nun nachträglich mit einem Shelly 1 mit Tasmota und einem davon angesteuerten Schütz lösen. Das ermöglicht auch neue Anwendungen wie zB das automatische Füllen bei genug Überstrom von der PV oder das automatische Ausschalten in der Nacht (es ist schon des öfteren vorgekommen, dass um 1 in der Nacht der Kompressor angesprungen ist).

Für den Schalter am anderen Ende wird wahrscheinlich in Zukunft ein ESP-01 herhalten, sobald dieser aus-programmiert ist, werde ich hier wieder berichten. Die Idee ist aber, das ganze über die HTTP-Schnittstelle von Tasmota zu realisieren, zB mit einem solchen Befehl: http://IP.OF.DEV.ICE/cm?cmnd=Backlog%20Power%20on%3B%20RuleTimer1%2010

Den Shelly für die Schütz-Ansteuerung habe ich einfach mit einer Rule programmiert:

Rule1 
  ON Switch1#state=0 DO ENDON 
  ON Switch1#state=2 DO Backlog Power ON; RuleTimer1 1200 ENDON 
  ON Switch1#state=3 DO Backlog Power ON; RuleTimer1 7200 ENDON  
  ON Rules#Timer=1 DO Power1 off ENDON

Damit lässt sich mit einem dort angeschlossenen Taster mit einem Tasten der Kompressor für 20 Minuten und mit einem Halten für mehr als 5 Sekunden für 2h einschalten.

Links und Credit

Danke an die Tamota Discord-Community, besonders an Nutzer sfromis, fürs Weiterhelfen
https://tasmota.github.io/docs/

PHP-Version unter Debian ändern

Hat man unter Debian mehrere PHP-Versionen gleichzeitig laufen, kann man folgendermaßen die „Standardversion“ einstellen:

update-alternatives --set php /usr/bin/php7.4
update-alternatives --set phar /usr/bin/phar7.4
update-alternatives --set phar.phar /usr/bin/phar.phar7.4
update-alternatives --set phpize /usr/bin/phpize7.4
update-alternatives --set php-config /usr/bin/php-config7.4
Links und Credit

https://tecadmin.net/switch-between-multiple-php-version-on-debian/

Timeout in Nextcloud richtigsetzen (Online-Updater 504 Gateway Timeout)

Ich hatte schon länger das Problem, dass bei mir der Nextcloud-Online-Updater nicht einwandfrei durchgelaufen ist. Jetzt habe ich das ganze mal gelöst:

In der nginx-config von der Nextcloud direkt habe ich beim php-location-block folgendes eingetragen:

fastcgi_read_timeout 300;

Damit dauert es 5 Minuten, bevor PHP ein Timeout schießt (da geht sich das Update dann meistens aus). Durch die angegebene Direktive dauert es 5 Minuten, bevor nginx aufhört, auf eine Antwort vom FastCGI-Socket zu warten. (Danke an einen aufmerksamen Leser für die Info!)

Da ich das ganze noch hinter einem weitern nginx-Reverse-Proxy betreibe (nur eine IP, weil Business-Vertrag nicht leistbar), habe ich in dessen Config noch folgendes eingetragen:

proxy_read_timeout 300s;

Danach ist das Update problemlos durchgelaufen.

Links und Credit

https://distinctplace.com/2017/04/22/nginx-upstream-timed-out/

Nextcloud-Online-Updater hängen geblieben – Lösung

Heute ist mir der Nextcloud Online-Updater hängengeblieben. Dies macht sich dadurch bemerkbar, dass zB vom Webinterface behauptet wird, dass Step 4 currently in Progress ist, und er eigentlich herunterladen sollte, aber man keine Netzwerkaktivität feststellen kann.

Das Problem lässt sich ziemlich einfach beheben: Einfach im data-Ordner der Nextcloud den Ordner updater-IRGENDWAS suchen und diesen löschen. Danach kann man im Webinterface wieder von vorne anfangen

Links und Credit

https://help.nextcloud.com/t/stuck-on-update-process-step-5-is-currently-in-process-please-reload-this-page-later/58371/9

miniDV-Kasetten mittels FireWire (i.Link) digitalisieren

Sollen miniDV-Kasetten digitalisiert werden, ist es nicht ratsam, das über einen USB-Grabber zu machen, da das Signal so zuerst von Digital auf Analog, und dann wieder auf Digital umgewandelt wird (im Unterschied zu zB VHS). Bei miniDV handelt es sich nämlich um ein Digitales Videoformat (daher das DV in miniDV). Unsere Kamera hat einen 4-poligen FireWire-Anschluss (von Sony damals i.Link genannt), weshalb ich mich auf die Suche nach einer Möglichkeit begeben habe, diese Schnittstelle zu nutzen und so die miniDV-Kasetten ohne Qualitätsverluste auf den Computer zu übertragen.

Ich habe mir zunächst eine FireWire-Karte auf Amazon bestellt (siehe hier). Ich habe eine alte PCI-FireWire-Karte bereits einmal erfolgreich getestet mit dem Camcoder, deshalb wusste ich, dass das ganze unter Linux möglich ist.

Ich habe also die neue FireWire-Karte in meinem Stand-PC eingebaut, das mitgelieferte Kabel angeschlossen, Ubuntu 20.04 installiert, dvgrab installiert, gestartet und siehe da: Die erste Ernüchterung. Es wird keine Kamera gefunden. Also los mit dem Troubleshooting

Zuerst also einmal mit lspci nachgesehen, ob die Karte denn auftaucht: Ja, tut sie.
Als nächstes mittels ls -lah /dev/fw* ermittelt, ob eine Kamera auftaucht. Leider nein, nur ein Device mit fw0 wird erkannt, das ist jedoch nicht meine Kamera.
dmesg zeigt die ganze Zeit folgende Errors (Einträge waren mehrmals vorhanden):

giving up on node ffc0: reading config rom failed: bus reset
rediscovering fw0

Um es kurz zu machen: Alte PCI-Karte probiert, altes Linux (Ubuntu 16.04) probiert, anderes FireWire-Kabel probiert, das ich seperat mitbestellt hatte, Windows probiert, alles zeigte kein Erfolg.

Dann dachte ich mir: Es ist alles wie beim letzten Mal, nur das FireWire-Kabel nicht. Habe also das Kabel gesucht, gefunden, auf dem neuen Rechner mit der neuen Karte unter Kubuntu 20.04 angesteckt, und siehe da, ohne Probleme, Plug&Play, Kamera wird erkannt, dvgrab kann gestartet werden.

Leider weiß ich noch nicht, wo genau die Unterschiede liegen zwischen dem Kabel das funktioniert und denen die nicht funktionieren. Auf dem funktionierenden steht nur oben IEEE 1394 6P/M 6P/M und dann ist noch ein mitgelieferter Adapter von 6-Pin auf 4-Pin angesteckt.

Ich werde in den nächsten Tagen ein anderes Kabel bei Amazon bestellen und schauen ob ich damit mehr Erfolg habe. Ich halte den Eintrag hier auf dem laufenden.

UPDATE: Das neue Kabel, das ich bestellt habe (siehe hier), funktioniert tatsächlich auf Anhieb. Kann ich also weiterempfehlen.

Auf alle Fälle kann nun mittels dvgrab eine Aufnahme angefertigt werden. Ich verwende immer den folgenden Befehl:

dvgrab -autosplit -timestamp -size 0 -rewind -showstatus Name-

Dieser bewirkt, dass automatisch nach Zeitstempel die Aufnahme in Name-TIMESTAMP gesplitet wird. Außerdem wird automatisch das Band komplett zurückgespult. Ich muss bei meiner Kamera dann manuell auf Play drücken, der Rest geht automatisch.

Nachdem das durchgelaufen ist, hat man eine ziemlich große .dv-Datei. Diese wandle ich dann mit folgendem ffmpeg-Befehl in eine kleinere mp4 um:

ffmpeg -i input.dv -vf yadif=0:-1:0,hqdn3d -crf 23 output.mp4

Wenn man mit ffmpeg noch schnell den Anfang oder das Ende wegschneiden will, kann man sich mit folgendem Befehl aushelfen:

ffmpeg -ss 00:00:02.00 -i quelle.mp4 -to 03:32:00.00 -c copy ziel.mp4

Dabei ist mit -ss angegeben, wie viel vom Anfang weggeschnitten wird, und -to gibt die endgültige Zeit des Videos an (hier muss man also Subtrahieren).

Links Und Credit

https://debianforum.de/forum/viewtopic.php?t=139647
https://wiki.ubuntuusers.de/FireWire/
https://knowledge.ni.com/KnowledgeArticleDetails?id=kA00Z000000P8hiSAC
https://askubuntu.com/questions/956934/on-ubuntu-17-04-how-do-i-get-firewire-ieee1394-working
https://bergs.biz/blog/2017/01/26/capture-minidv-tapes-via-firewire/
https://www.galfe.de/video-capture-via-firewire-unter-linux-mit-kino-notebook-mieten/
https://blog.devilatwork.de/windows-10-und-eine-minidv-kamera-per-firewire-nutzen/
https://www.studio1productions.com/Articles/Firewire-1.htm
https://www.slashcam.de/info/video-uebertragung-auf-PC–vom-PanasonicNV-DS8-48871.html
https://www.slashcam.de/forum/viewtopic.php?p=103530

Yubikey für KDE-Lockscreen als U2F (2. Faktor) verwenden

Ich möchte an dieser Stelle einfach auf den Artikel von Yubico hier verweisen, und folgenden Tipp für KDE-Nutzer hinzufügen:

Ich habe anstelle der einzelnen Dateien im /etc/pam.d/ Ordner einfach den Befehl auth required pam_u2f.so in die /etc/pam.d/common-auth geschrieben. Damit habe ich auch am KDE-Lockscreen die 2FA-Authentication. Falls jemand von euch Tipps hat, wie man das selektiver lösen kann, gerne her mit Vorschlägen. Ich habe einfach die Datei für den kscreenlocker nicht gefunden.

LINKS und Credit

https://support.yubico.com/hc/en-us/articles/360013708900-Using-Your-U2F-YubiKey-with-Linux

Bootbaren Windows-Stick auf Linux erstellen

Als Linux-User ist man normalerweise verwöhnt, dass man Images, die man auf einem USB-Stick bootbar aufspielen will, einfach mit dd raufschreibt. Leider funktioniert das bei Windows meist nicht so einfach, weil man einen Master Boot Record braucht. Hier nun eine mögliche Lösung, wie man es trotzdem schaffen kann.

Hinweis: solltet ihr leicht wo Zugriff auf einen Windows-Rechner haben, nehmt diesen und installiert euch einfach Rufus. Geht meistens schneller.

Ansonsten hier die Anleitung unter Linux:

Zuerst lädt man sich ms-sys von Sourceforge herunter und kompiliert sich dieses (notwendig dafür sind die build-essential). Das Kompilieren selbst geht ganz einfach mit make && sudo make install.

Danach legt man auf dem USB-Stick eine NTFS-Partition an, z.B. mit fdisk:

sudo fdisk /dev/sdb
n
p
ENTER
ENTER
ENTER
t
7
w
sudo mkfs.ntfs -f /dev/sdb1

Wenn das erledigt ist mountet man sich das ISO-File und die neue Partition und kopiert den Inhalt der ISO-Datei auf die Platte:

sudo mount -t udf -o loop,ro,unhide WIN10.iso
sudo copy -avr /ISO_MOUNTPOINT /USB_MOUNTPOINT

Wenn das erledigt ist, kann man mit folgendem Befehl und dem Tool ms-sys den Master Boot Record anlegen:

sudo ms-sys -7 /dev/sdb
sudo sync
sudo unmount /USB_MOUNTPOINT

Jetzt kann man auch schon von dem Stick booten.

Links Und CreDit

https://www.cyberciti.biz/faq/create-a-bootable-windows-10-usb-in-linux/
https://sourceforge.net/projects/ms-sys/

ZVOL in Promox verkleinern – Was es zu beachten gibt

Hier ein paar kurze Eckpunkte, was es zu beachten gibt, wenn man ein ZVOL in Proxmox verkleinern will (in meinem Fall eine Windows-Partition):

  • NTFS verkleinern -> am besten mit EaseUS Partition Master Free
  • Alle Partitionen verschieben, sodass der freie Platz ganz hinten ist.
  • zfs set volsize=200G rpool/vm-100-disk-0 (ACHTUNG, 3x kontrollieren ob das auch stimmt!)(Kann sehr lange dauern)