Merge branch 'master' of https://git.bettercrypto.org/ach-master
[ach-master.git] / TODO.md
diff --git a/TODO.md b/TODO.md
index 6a41a06..7f012b2 100644 (file)
--- a/TODO.md
+++ b/TODO.md
@@ -1,3 +1,19 @@
+Bug Fixes
+=========
+Reported by: @Wims80 http://twitter.com/wims80/status/425770704693239808
+Section Apache 2.1.1 recommends Rewrite instead of Redirect. Should be 301! (We correctly recommend 301 in the nginx section.)
+
+
+2014-02-11 19:41
+OpenVPN cipher string doesn't work with 2.3.2 according to: @bong0.
+tlc-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-RSA-WITH-AES-256-CBC-SHA:TLS-RSA-WITH-CAMELLIA-128-CBC-SHA:TLS-RSA-WITH-AES-128-CBC-SHA
+http://twitter.com/bong0/status/433306823001526272
+http://twitter.com/bong0/status/433307537375387648
+http://nopaste.info/d194fdaa78.html
+guid string produces deprecated warning, no errors.
+user's OpenVPN linked against OpenSSL 1.0.0. on Wheezy backport.
+http://packages.debian.org/wheezy-backports/openvpn
+
 
 BIG TOPICS
 ==========
@@ -32,12 +48,18 @@ DONE * DB2 (--> Berg. Or ask MLeyrer)
 * re-work chapter 2 (practical settings). Add lots of references to chapter 3 to get people interested in reading the theory.
 * Document : add license
 
+* compare gv.at Richtlinien with our recommendations.
 
 Website
 =======
 People with outdated browsers (winXP) etc can't see our webpage. --> make a landing page explaining 
 how to updated the browser :)
 
+Improve the wording on the cert.at Mailing list website so people don't get confused and know that they ended up on the correct site and list.
+
+LANGUAGES
+=========
+* translate to french and other european languages
 
 Formatting
 ==========
@@ -55,7 +77,10 @@ Rendering in Firefox (inline) on Windows seems to be really messed up. What happ
 * make a HTML Version of the document. It is much easier to copy & paste from than from PDFs.
 * Add Timestamp and git shorthash, not only date, to the title page of the document. Easier to check if you version of the document is current!
 
-* \usepackage[utf8]{inputencoding} and all the other \usepackage things in applied-crypto-hardening.tex should be reviewed and we should take a look if it should't all be in common/*.tex
+* \usepackage[utf8]{inputencoding} and all the other \usepackage things in applied-crypto-hardening.tex should be reviewed and we should take a look if it should't all be in common/\*.tex
+
+* check epigraph: why is the "---" gone? Is it gone?
+
 
 Formats to export
 =================
@@ -78,18 +103,64 @@ Workflow
 Contents
 ========
 
+* disclaimer.tex:
+  add "we don't deal with ICS devices. Nonono"
+* CipherStringB: 
+  src/commons/cipherstringb.tex --> remove the "!SRP"
+
+* Mailserver.tex:
+  Add "Dovecot" in front of 2.0.19apple1 
+  Postfix section: smtpd_tls_loglevel = 1 instead of = 0
+
 * DBs:
   Postgresql: put in \%*\cipherstringB*) in the config!
+  Mysql: put in \%*\cipherstringB*) in the config!
+  Oracle: mark this as "we do not test this here, since we only reference other papers for Oracle so far"
+  DB2: mark this as "we do not test this here, since we only reference other papers for Oracle so far"
+  sed -i /IMB Db2/IBM DB2/g
+
+* theory/PKI.tex line 120: "a previously created certificate" --> "a previously created key"!
+
 
 * Webservers:
   Header Strict-Transport-Security "... includeSubDomains": we need to meed to mention that this can be a big pitfall.
   Also do some more research on this!
-  For example: http://tools.ietf.org/html/draft-ietf-websec-strict-transport-sec#section-6.1
+  For example: https://tools.ietf.org/html/draft-ietf-websec-strict-transport-sec#section-6.1
+  fix lighttpd HTTP redirection and env vars
+  lighthttpd: ssl.ec-curve = "secp384"
+    ssl.dh-file = "/etc/lighttpd/dhparams-group16.pem"
+       ssl.ec-curve = "secp384r1"
+
+* GPG.tex:
+  keep it "Howto" not "How-to"
+
+* IM:
+  fix the subsubsection{XMPP/ Jabber} part. There seems to be a mix up here ? Maybe? --> check again
+
+* SSH:
+  openssh - remark that ServerKeyBits  might still be useful. Add a note that sometimes old keys are very very old and 1024 bits. 
 
 * Tools: 
   mention that sslscan (the tool) does not understand all cipherstrings! For example SHA2-\* is missing
   --> recommend something better
 
+  - tools -> section SSL \& TLS: "lever your https" --> that's not a sentence. Fix it
+  - make this more uniform: the \url in the itemized list should always be either always at the beginnig or always at the end. 
+
+* theory/DH.tex
+  check the formatting of \cite[chapter16]{ii2011ecrypt}
+  same section: group 19-21 (256--521 bit ECC )... we need to mention it! We can not ignore it!
+
+* cipher\_suites/architecture.tex:
+   IANA nomencalture part: make a reference to the appendix here
+
+* .gitignore: add title.log
+
+
+* epigraph balance between freedom and security is a delicate one --> remove this epigraph. It's not so fitting.
+
+
 * re-write PKI section: make it *much* shorter. Reference: https://www.cs.auckland.ac.nz/~pgut001/pubs/pkitutorial.pdf and 
   https://en.wikipedia.org/wiki/X.509#Problems_with_certificate_authorities.