|
eigenes Zertifikat
Liste der Anhänge anzeigen (Anzahl: 2)
Hallo...:P
Tutorial:  https://www.delphipraxis.net/90725-e...nfuehrung.htmlIch habe schon eigene Zertifikate erstellt und die EXEn signiert. Diesmal will er nicht. :? 1. Das Zertifikat ist im Store. (Bild Zertifikat) 2. Über eine Batch (PostBuild) wird die EXE signiert. Zitat:
Nachtrag: W10 Danke für Ideen... |
AW: eigenes Zertifikat
Zitat:
|
AW: eigenes Zertifikat
Danke...
Zitat:
|
AW: eigenes Zertifikat
Mit Windows 10 SDK signtool habe ich noch nicht gearbeitet...
unter Windows 7 und mit signtool.exe aus dem Windows 8 SDK sieht das Skript so aus:
Code:
Laufzeitumgebung ist Windows 7 Enterprise (Desktop-Virtualisierung unter VMWare)
signtool sign /fd SHA256 /a /f <pfad zur pfx Datei> /p <passwort> /t http://timestamp.comodoca.com projekt.exe
|
AW: eigenes Zertifikat
Danke...
Wir reden über unterschiedliche Dinge...ich habe keine pfx Datei, ich habe kein Paßwort, ich habe keinen Timestamp. :? Das Tutorial hat immer funktioniert...was habe ich übersehen? :? Zitat:
|
AW: eigenes Zertifikat
Zitat:
Werden denn die früher signierten Anwendungen weiterhin korrekt als signiert auf diesem Windows Rechner angezeigt? |
AW: eigenes Zertifikat
Du sollst nicht mehr nur mit SHA1 signieren, sondern zusätzlich oder ausschließlich mit SHA256. Und bei SHA256 (zusätzlich) brauchst du auch den Zeitserver.
Das Tutorial ist gut, beschreibt allerdings nur SHA1 und nicht die mehrfach Signierung (SHA1/SHA256) oder eben die mit SHA256, ist somit in der Form veraltet und sollte überarbeitet werden. |
AW: eigenes Zertifikat
Liste der Anhänge anzeigen (Anzahl: 2)
Moin...8-)
Zitat:
Zitat:
:gruebel: |
AW: eigenes Zertifikat
Vielleicht eine doofe Frage, da ich generell nur mit pfx-Zertifikaten arbeite: Kannst Du dein Wunschzertifikat nicht im Internet Explorer (ja Internet Explorer, nicht Edge) nicht als pfx exportieren?
Falls doch, dann weiß Du auf jeden Fall durch die Mitgabe als /f-Parameter, welches Zertifikat er beim Signieren verwendet. Und dann kannst Du das Zertifikat auch als sha256 exportieren, so dass auch dies auf dem Stand der Zeit ist Und dann sagt dir auch /v genau, was bei diesem Zertifikat nicht stimmt. |
AW: eigenes Zertifikat
Das Tutorial ist in der Tat hoffnungslos veraltet. Selbst die KB-Artikel der diversen CAs sind meist hoffnungslos veraltet. Die Dokumentation von Microsoft existiert teils in so vielen widersprüchlichen Versionen, daß einem schlecht wird. Wer des Englischen mächtig ist, ist noch immer mit
dieser Abhandlung am besten bedient. Wird von Zeit zu Zeit aktualisiert und ist besser als jegliche Informationen der vorgenannten Quellen.Ich habe auch festgestellt, daß es durchaus ein paar Minuten dauern kann, bis eine Signatur als gültig angesehen wird. Das kann man selber testen indem man eine signierte und auf einem anderen System geprüfte Datei, welche Elevation erfordert, auf ein anderes System kopiert und startet. Zuerst kommt üblicherweise eine Warnung, während ein paar Minuten später das übliche blaue oder grüne Häkchen im Dialog auftaucht. Grund ist vermutlich, daß hier vom System auch noch die CRLs konsultiert werden und eben nicht nur der lokale Zertifikatsspeicher. Zitat:
Übrigens gibt es nicht das Windows 10 SDK. Mittlerweile dürfte es ein halbes Dutzend geben. Auf meinem System habe ich zumindest allein vier verschiedene Windows 10 SDKs installiert (10.0.10240.0, 10.0.16299.0, 10.0.17134.0, 10.0.17763.0). Zitat:
Sollte das Verhalten gewünscht sein, daß die Signatur mit der Zertifikatsgültigkeit verfällt, kann im Zertifikat noch die EKU 1.3.6.1.4.1.311.10.3.13 (Lifetime Signing) gesetzt werden ... oder man läßt halt den Zeitstempel weg. Das ist aber wiederum so unkonventionell, daß es üblicherweise auf einen Fehler des Anwenders verweist. Die EKU kannst du mit "makecert -eku 1.3.6.1.4.1.311.10.3.13" setzen ... Falls hier die Angst bestehen sollte, daß der Zeitstempel von einem bestimmten Anbieter sein muß, so darf ich das als unbegründet zurückweisen. Beispielsweise bietet Certum keinen SHA256-gehashten-Zeitstempel an, weshalb sie auf andere Anbieter von Zeitstempelservern verweisen. Für WinDirStat benutze ich dann http://timestamp.digicert.com für SHA256 und http://time.certum.pl für SHA1.Übrigens, als Admin würde ich an die Decke gehen wenn ein kommerzieller Softwareanbieter selbstsignierte Zertifikate benutzt und mglw. sogar noch die Zertifikate ohne deutlichen Hinweis als vertrauenswürdig installiert. Ist aber ein anderes Thema und du schreibst ja es sei allein für interne Zwecke. Zitat:
Zitat:
hier.Zitat:
Auch immer dran denken, daß zum Signieren das Zertifikat und der passende private Schlüssel verfügbar sein müssen. Zertifikat allein reicht nur zum verifizieren einer Signatur, aber eben nicht zum Signieren. Und dann noch ein paar Notizen ...
|
AW: eigenes Zertifikat
Liste der Anhänge anzeigen (Anzahl: 1)
Hallöle...8-)
jetzt geht es. :P Hörensagen: Ich hatte, vermutlich durch das Ausprobieren, 2 Zertifikate die in das "Raster" gefallen sind. Da ich die "Automatikfunktion :wink:" nicht aktiviert hatte, wußte er nicht welches er nehmen sollte. Manchmal hilft es in die Batch eine PAUSE einzubauen um zu sehen was er treibt. :oops: |
AW: eigenes Zertifikat
Moin...8-)
...ich muß das mal wieder hochholen. :? Kurzzeitig hat die Signierung wieder geklappt. Jetzt wieder nicht. :evil: Ich habe schon die Zertifikate entfernt, neu erstellt. Delphi (Postbuild Batch) sagt "Successfully signed" ... aber nix in den Eigenschaften. :roll: Ideen? Danke |
AW: eigenes Zertifikat
Ich signiere per Batch-File außerhalb von Delphi während meiner Auslieferung
"C:\Program Files (x86)\Windows Kits\10\App Certification Kit\signtool.exe" sign /f C:\Daten\Philipp\Delphi-Projects\PhilippHofmannSectigo256.pfx /p [pwd] /fd sha256 /tr http://timestamp.comodoca.com/?td=sha256 /du https://ictrainer.com /td sha256 /v C:\Daten\Philipp\Delphi-Projects\icTrainer\Win32\Release\icTrainer.exeDamit funktioniert es. |
AW: eigenes Zertifikat
Zitat:
Zitat:
Zitat:
|
AW: eigenes Zertifikat
Hast du denn mal "signtool verify" benutzt anstatt den Eigenschaftendialog? Da bekommst du deutlich mehr Infos. Selbst sigverify aus der Sysinternals-Reihe von Werkzeugen könnte hier helfen. Auch läßt sich der Signiervorgang mithilfe von "/v" gesprächiger machen, womit sich wiederum auch das eine oder andere Problem finden läßt.
Also was ich bei dir aber absolut nicht verstehe ist, daß du dich auf die automatische Auswahl eines Zertifikats verläßt. Lies mal bitte hier nach was für Stolperfallen es da so geben kann.Auf die Wichtigkeit eines Zeitstempels wollte ich nochmal verweisen :zwinker: |
AW: eigenes Zertifikat
Moin...8-)
Zitat:
Zitat:
|
AW: eigenes Zertifikat
Faszinierend. Und du schaust dir auch 100%ig exakt die gleiche Datei an? Das klingt dann doch sehr mysteriös. Welches signtool verwendest du da exakt? Kommt eine seiner Abhängigkeiten (DLLs) vielleicht aus einem anderen Verzeichnis? Und vor allem du verifizierst die gleiche Datei welche du auch signierst?
Mir fiel da das Leerzeichen im Pfad auf ... haste die Argumente sauber in Anführungszeichen übergeben? |
AW: eigenes Zertifikat
Liste der Anhänge anzeigen (Anzahl: 1)
Zitat:
Zitat:
Successfully signed: E:\Projects\Projects_Delphi\XXX\_out\Development_R untime\XXX.exe Verifying: E:\Projects\Projects_Delphi\XXX\_out\Development_R untime\XXX.exe Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
|
AW: eigenes Zertifikat
Hmm, ist mir ein Rätsel. Dann kann ich vermutlich nicht helfen.
|
AW: eigenes Zertifikat
Schade...:wink: Trotzdem Danke.
|
AW: eigenes Zertifikat
Hallo,
das steht SHA-1. Das zeigt Windows glaube ich seit neuestem nicht mehr an. Teste doch mal SHA-256. |
AW: eigenes Zertifikat
Gerade nachgesehen, Windows 10 1903 zeigt sowohl SHA1 als auch SHA256 in dem Tab "Digitale Signaturen" an.
Die verwendeten Parameter sind bis auf das "/as" identisch zu meinem Ansatz.: SignTool.exe sign /a /s MY /n "Cert-name" /fd sha256 /as /v %filetosign% /as Append this signature. If no primary signature is present, this signature will be made the primary signature instead. Vielleicht hilft das. Noch ein Gedanke, die Eigenschaften der signierten Datei auf einem anderen System zu prüfen (ob der Tab da zu sehen ist). |
AW: eigenes Zertifikat
Liste der Anhänge anzeigen (Anzahl: 1)
Moin...8-)
Zitat:
Zitat:
Zitat:
Nachtrag: Auch /as hat keine Auswirkung. :? |
AW: eigenes Zertifikat
Manchmal ist es gut zu wissen, was nicht hilft - hier der Parameter "/as".
Als Hinweis, ich trenne SHA1 von SHA256 - arbeite also mit zwei unterschiedlichen Zertifikaten und signiere entsprechend nur im jeweiligen SHA-Level. Es gibt da eine Antwort in der Diskussion, die m.E. ein Ansatz sein könnte: Zitat:
Wenn es dann mit dem anderen Zertifikat nicht klappt, würde ich eher dort ansetzen - so das Zertifikat in Ordnung ist, wovon ich ausgehe. Dem Tipp von Assarbad mit der Auswahl folgend: Zitat:
|
AW: eigenes Zertifikat
Liste der Anhänge anzeigen (Anzahl: 3)
Hallo alle...8-)
ich mache mich mal wieder dran...Tipps sind immer gern gesehen. :P Neue Infos: 1. Postbuild BAT (oben) 2. rechtes Fenster Kompilat 3. linkes Fenster Kopie des Kompilates 4. Build Ausgabe: Zitat:
Fragen: 1. Warum ist die Kopie 3 Minuten älter? 2. Warum hat die Kopie die richtige Signatur? 3. Warum unterscheiden sich die Dateigrößen? Danke. |
AW: eigenes Zertifikat
Diesen Artikel hast du bestimmt schon gefunden oder?
https://stackoverflow.com/questions/...ing-on-windows |
AW: eigenes Zertifikat
Ich weiß es jetzt nicht, aber um für Virenscanner nicht böse dazustehn, wird man das bestimmt nicht einfach "blind" und ohne Verlinkung hinten an die EXE anhängen.
Also entweder das Zertifikat wird als Ressource eingefügt, was du leicht mit einem Ressource-Editor/Hacker/... nachsehn kannst. Oder es wird als Section ins PE-Format integriert. IMAGE_SECTION_HEADER ... da gibt es auch ein paar Progrämmchen, welche dir die Sektionen auflisten. |
AW: eigenes Zertifikat
Danke...siehe meinen vorhergehenden Post. (EDIT)
https://www.delphipraxis.net/1470277-post25.html |
AW: eigenes Zertifikat
Ihr habt mich inspiriert ein Video zu erstellen - danke dafür.
Code-Signierung - Wie ihr eure Programme und Firma schützen könnt https://www.youtube.com/watch?v=UhhaNX2zQwY |
AW: eigenes Zertifikat
Moin...8-)
Zitat:
Seht ihr an der Batch was Falsches? Irgend ein Cache der das auslöst? :gruebel: Danke... |
AW: eigenes Zertifikat
Moin...8-)
Zitat:
Seht ihr an der Batch was Falsches? Irgend ein Cache der das auslöst? :gruebel:
Code:
PS: xxx_Release\Win32\xxx.exe hat das richtige Zertifikat, _out\Development_Runtime\xxx.exe nicht
echo off
if not exist E:\Projects\Projects_Delphi\xxx\_out\Development_Runtime\xxx.exe exit if not exist E:\Projects\Projects_Delphi\xxx\_out\app\KTE_Release\Win32 md E:\Projects\Projects_Delphi\xxx\_out\app\xxx_Release\Win32 E:\Projects\Projects_Delphi\xxx\Certificate\Tools\signtool.exe sign /v /s "xxx Certificate Store" /n "xxx Signierung" /fd SHA256 "E:\Projects\Projects_Delphi\xxx\_out\Development_Runtime\xxx.exe" E:\Projects\Projects_Delphi\xxx\Certificate\Tools\signtool.exe verify /pa /v "E:\Projects\Projects_Delphi\xxx\_out\Development_Runtime\xxx.exe" copy E:\Projects\Projects_Delphi\xxx\_out\Development_Runtime\xxx.exe E:\Projects\Projects_Delphi\xxx\_out\app\KTE_Release\Win32\xxx.exe ...das ist die Frage. :roll: Danke... |
AW: eigenes Zertifikat
Nee, sieht OK aus.
Wenn die KTE_Release das hat, dann muss die Development_Runtime das natürlich auch haben, dazumal in der ja die Signatur hinzugefügt wurde. Und egal ob das Zertifikat installiert ist oder nicht, angezeigt muß es dennoch werden, da es ja in der EXE drin stekt. Das "Installiert" im Zertifikatsspeicher entscheidet nur darüber wie es angezeigt wird, also ob es verifiziert werden kann oder nicht. Ich denke hier eher daran, dass z.B. der Explorer noch den alten Inhalt anzeigt und nicht aktualisiert wurde. Ich hab das öfters mal mit der Dateigröße oder dem Änderungsdatum ... da hilft dann nichtmal ein F5 oder Explorer zu+auf ... aber mal kurz den Dateieigenschaftendialog auf und schon stimmte es auch in der Liste wieder, das kappte bisher eigentlich immer. :gruebel: Aber du weißt doch bestimmt selbst, dass eine Fehlerhandlung nie schaden kann. :zwinker:
Code:
@ : damit auch das echo off nicht angezeigt wird, weil ist ja erst danach aus ;)
@echo off
:: ExitCode: 0 = OK / 1 = Failure / 2 = Warning set file=xxx set outdir=E:\Projects\Projects_Delphi\%file%\_out set signtool="E:\Projects\Projects_Delphi\%file%\Certificate\Tools\signtool.exe" if not exist "%outdir%\Development_Runtime\%file%.exe" exit /b 1 if not exist "%outdir%\app\KTE_Release\Win32" ( md "%outdir%\app\%file%_Release\Win32" if errorlevel 1 exit /b 1 ) %signtool% sign /v /s "%file% Certificate Store" /n "%file% Signierung" /fd SHA256 "%outdir%\Development_Runtime\%file%.exe" if errorlevel 1 exit /b %errorlevel% %signtool% verify /pa /v "%outdir%\Development_Runtime\%file%.exe" if errorlevel 1 exit /b %errorlevel% copy "%outdir%\Development_Runtime\%file%.exe" "%outdir%\app\KTE_Release\Win32\%file%.exe" if errorlevel 1 exit /b 1 set : damit das Ganze bissl übersichtlicher wird exit 123 und errorlevel : damit man außerhalb auch eine Fehlerprüfung vornehmen kann, z.B. im FinalBuilder/BuildServer/BuildScript oder Dergleichen das Ergebnis auswerten exit /b statt exit : damit nur dieses Script abgebrochen und nicht gleich ALLEs (das aufrufende Script) Statt BEFEHL mit anschließendem IF ginge z.B. auch
Delphi-Quellcode:
, also wenn beim Ersten der ErrorLevel > 0, dann das Zweite ausführen.
COPY source dest || exit 1
https://ss64.com/nt/syntax-conditional.html
Code:
deine.cmd
if errorlevel 1 echo Fehler %errorlevel% & pause |
AW: eigenes Zertifikat
Danke...:P
Morgen habe ich Zeit mich damit zu beschäftigen. :wink: |
AW: eigenes Zertifikat
Na dann viel Spaß.
PS: noch was bezüglich dem @ Alles unsichtbar, abgesehn von den 3 großen Aufgaben, so als Status-/Fortschtittsanzeige, alternativ geht aber auch ECHO oder TITLE. Und :: ist ein unsichtbarer Kommentar, ähnlich einem @REM, wobei das Unsichtbar mir da nie so wichtig ist ... es ist im Code einfach übersichtlich/auffällig und kein REM-Wort stört den Text)
Code:
:: ExitCode: 0 = OK / 1 = Failure / 2 = Warning
@set file=xxx @set outdir=E:\Projects\Projects_Delphi\%file%\_out @set signtool="E:\Projects\Projects_Delphi\%file%\Certificate\Tools\signtool.exe" @if not exist "%outdir%\Development_Runtime\%file%.exe" exit /b 1 @if not exist "%outdir%\app\KTE_Release\Win32" ( md "%outdir%\app\%file%_Release\Win32" if errorlevel 1 exit /b 1 ) %signtool% sign /v /s "%file% Certificate Store" /n "%file% Signierung" /fd SHA256 "%outdir%\Development_Runtime\%file%.exe" @if errorlevel 1 exit /b %errorlevel% %signtool% verify /pa /v "%outdir%\Development_Runtime\%file%.exe" @if errorlevel 1 exit /b %errorlevel% copy "%outdir%\Development_Runtime\%file%.exe" "%outdir%\app\KTE_Release\Win32\%file%.exe" @if errorlevel 1 exit /b 1 |
AW: eigenes Zertifikat
Moin...:P
Zitat:
|
AW: eigenes Zertifikat
Liste der Anhänge anzeigen (Anzahl: 1)
Moin...:P
Neuigkeiten: 1. Wenn ich die BAT nach dem kopilieren manuell ausführe, ist alles so wie es sein soll. Alle Dateien haben das Zertifikat. :gruebel: 2. Wenn ich die BAT als Postbuild Event ausführen lasse, habe ich die Konstellation wie im Eingangspost. :shock: ...es sieht danach aus, daß die IDE nach dem PostBuild Event die Datei nochmal überschreibt. :roll: Das paßt zu "die Kopie hat das Zertifikat, das original nicht". :roll: ...oder das PostBuild Event ist eigentlich ein PreBuild Event. :evil: Jetzt fällt mir nichts mehr ein...:( |
AW: eigenes Zertifikat
Das PostBuild ist ja gerade für sowas da.
Nett ist, dass ich demächts auch sowas machen wollte, also das blöde Eurekalog aus Delphi rauswerfen, weil es beim Debuggen absolut nervt. Und dann im PostBuild manuell Eurekalog-Infos nur "anhängen" und wenn ich schon dabei bin auch endlich mal die schon lange überfällige Signierung hinzufügen. Wenn man Eurekalog das selbst machen lässt, dann pfuscht der an den DCC-Setings rum und macht die Delphi-Debuginfos kaputt (denkt wohl seine Debuginfos sind besser und man braucht die Anderen nicht, was der Debugger aber anders sieht) und dann natürlich ÜBERALL die schwachsinnigsten Hooks, in denen ich ständig lande und nicht mehr raus finde. Da wirst wohl mal mit SysInternals nachsehn müssen, ob die Datei wirklich anschließend nochmal verändert wird, bzw. wer das macht, was ja eigentlich nicht passieren sollte. Oder ganz böse: im PostBuild eine EXE starten, welche die Datei öffnet (Sharing: ohne Schreibrechte für Andere) und geöffnet lässt und dann schauen wo Delphi knallt. Hängt vielleicht noch ein Addon im Delphi? Via OpenToolsAPI im PostBuild ... k.A. in welcher Reihenfolge die ausgeführt werden. PS: Im PreBuild hättest du ja noch die alte EXE (oder noch Keine), weil ist ja davor. Ins PreBuild war ich schon drauf und dran irgendwann mal eine Prüfung einzubauen: Läuft EXE noch, dann benenden. (vergesse ich manchmal, wenn ich die ohne Debugger starte, bzw. wenn sie beim Beenden im Hintergrund noch hängt) |
AW: eigenes Zertifikat
Hallöle...:P
Zitat:
Zitat:
Info: Nach Deaktivieren des MadExcept ist die EXE mit dem Zertifikat versehen. :shock: Das kann man beliebig oft wiederholen. Wahrscheinlich wird die EXE nach dem PostBuild vom MadExcept noch/erst gepatcht. Eine Mail an Matthias ist raus... Schaun wir, was er sagt. :wink: |
AW: eigenes Zertifikat
Aber dann sollte doch dennoch das Zertifikat drin sein, weil wenn, dann darf/kann MadExcept die bestehende Datei doch nur ändern/erweitern,
auch wenn das Zertifikat dann vielleicht "ungültig" ist, weil die Datei verändert wurde. Stimmt, also das gleiche Problem, was ich mit Eurekalog oft hab, dort wird ja auch anschließend noch aus der MAP-Datei eine detailiertere Debuginfo erstellt und in die EXE eingefügt. |
AW: eigenes Zertifikat
Zitat:
Und das Designtime-Package von denen aus'm Delphi rauswerfen. Denn aktuell kann ich mit FinalBuilder kompilierte Dateien nicht richtig debuggen und muß einige/alle nochmals im Delphi kompilieren, weil sich diese Dateien unterscheiden (Dateigröße und eben dass der Debugger keine Haltepunkte mehr findet) Scheinbar arbeiten die Wenigsten mit Eurekalog und exzessiv mit Packages oder es benutzt wirklich fast niemand den Debugger ... k.A. warum sonst so Wenige damit Probleme haben. Im Delphi hängt sich Erekalog rein und macht sein Ding beim Kompilieren. Und im FinalBuilder ruft der FB den ECC statt dem DCC auf. Der ECC pfuscht dann noch bissl an den Compiler-Settings rum, startet den DCC und modifiziert anschließend die EXE. Das will ich gern auf MSBUILD umstellen, welches statt der DPR direkt die DPROJ mit den "selben" Optionen und inkl. PostBuild ausführt, so dass "hoffentlich" im Delphi und FB die selben Dateien entstehen. Wenn erst DCC ausgeführt wird und der ECC nur noch seine DebugInfos "anhängt", ohne die EXE und Compileroptionen zu verpfuschen. MSBUILD xyz.dproj * DCCxxx * PostBuild ** PE-Flags ändern/prüfen (wegen Netzlaufwerken) ** ECC, WasEigenes oder MadExcept ** SignTool Weil aktuell nutzt der FB seine eigenen Projekoptionen und Delphi nutzt die aus der DPROJ ... alles Doppelt, auch wenn bei den wichtigsten Projekten die Optionen "eigentlich" gleich sind, kommt dennoch was ganz Unterschiedliches bei raus. Wobei ich den Eurekalog eher mal gern rauswerfen werde/würde, da wir effektiv eh nur den Stacktrace und Fehlerdialog benutzen und die Masse der meisten Hooks eher nervt, als hilft. Und dann mach ich das selbst. * VCL-Fehlerdialog ersetzen (unten den Stack mit anhängen) * an Exception meine eigenen zwei/drei StackTrace-Frunktionen registrieren  Exception.StackTrace** StackStrace erstellen mit der WinAPI  StackWalk** die Delphi-DebugInfos in Windows-DebugInfos übersetzen (map2dbg.exe oder tds2pdb.exe) ** am schönsten wäre es, wenn ich noch rausbekomm, wie ich die PDB von der Einzeldatei in die EXE verschiebe ... sind beides PE-Dateien und die Debuginfo hängt als Section drin |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:41 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz