Kosmischer Streifschuss in 24 Jahren - also sollte der uns doch noch 2037 erwischen könnten wir es schaffen ausgelöscht zu sein bevor der Unix-Epoch-Overflow uns erwischt
Archiv 1.2.2005 - 4.2.2005
NZZ Online-Archiv nicht mehr frei verfügbar - und damit ist die NZZ im Internet nicht mehr präsent. Was zum Geier soll eine Online-Verfügbarkeit nur am Tag der Printveröffentlichung bringen? Lächerlicher Murks der ach so professionellen Presse, die sich im Internet mal wieder als totale Stümper outen …
Trackback Thinking
A Whole Lotta Nothing: No one can have nice things! - Matt schaltet bei sich Trackback aus. Interessant ist seine Beobachtung, das erst ein paar Test-Trackbacks gekommen sind und 8 Stunden nachdem diese immer noch da waren erst der grosse Schwung kam. Deckt sich mit den Erfahrungen anderer - die Spambots sind wohl im Moment noch halbautomatisch.
Bei Phil Ringnalda gibts noch mehr Überlegungen über Trackback und ob es überhaupt noch relevant ist - und ob die Art wie es meistens benutzt wird überhaupt Sinn macht. Sein Hauptpunkt ist die Tatsache das viele Trackbacks eher sinnlos sind - sie zeigen einfach nur auf ein Posting das letzten Endes nur ein klassisches Me Too enthält und wieder auf den Ursprung zurückzeigt. Er hätte lieber context-bezogene Pings - du hast was zu einem Thema geschrieben, das woanders auch diskutiert wird? Manuelles Trackback zu dem Posting hin verbindet diese beiden Seiten. Dieses themenbezogene Trackbacken war auch die Hauptidee hinter dem Internet Topic Exchange - im Prinzip einfach nur eine Trackback-Adresse und ein angehängtes Wiki. Zum Teil ist das auch ans Fliegen gekommen, aber weit durchgesetzt hat es sich nicht. Auch LazyWeb - ein Posting mit einem Problem, ein Trackback auf LazyWeb und vielleicht findet jemand eine Lösung - hat sich nicht so richtig durchgesetzt. Ok, es läuft, aber man hätte eigentlich mehr Echo erwartet.
Genau diese Verbindungen sind natürlich etwas die mit PingBack nicht so einfach machbar sind - PingBack setzt ja gerade auf der bidirektionalen Verlinkung auf, wohingegen Trackback bei diesen Beispielen gerade wegen seiner Entkoppelung von tatsächlichen Links interessant wäre.
Andererseits sehe ich ständig auf TopicExchange-Topics Poker-Spam - und damit ist auch so ein System früher oder später schlicht tot, ausser es finden sich genug Gärtner die das Unkraut rausrupfen.
Soviel mal wieder aus der selbstreferentiellen techno-babble Ecke.
Rumsfeld findet, die US-Truppen hätten eine unzureichende Zahl von Sunniten getötet - ist es nicht schön wenn man so einfache Weltbilder hat? Böse Sunniten, gute Shiiten. So einfach ist das für Rumsfeld. Blöder Politiker. So einfach ist das für mich.
Erster Fallout von rel="nofollow"
Rogers Cadenhead mit ein paar Kommentare darüber, das die Wikipedia alle externen Links mit rel="nofollow" markiert. Besonders schade finde ich daran, das die Wikipedia ja üblicherweise nur auf solche externen Links verweist, die tatsächlich fachliche Qualität haben - oder zumindestens vom Wikipedia-Autor als solches angesehen wurden. Gerade ein Linkmonster wie die Wikipedia hat durch Links auf andere Seiten deren Positionierung verbessert - was nun besonders bei Info-Webseiten zu eher obskuren Themen sicherlich hilfreich war. Denn wer ausser Wikipedia linkt dort hin?
fallback-reboot ist ein kleiner Daemon der sich im Speicher lockt (so das er nicht ausgelagert werden kann) und dann auf einem Port auf ein Passwort wartet. Kommt das Passwort, wird die Kiste ohne jegliche Sicherheitsvorkehrungen oder Platten-Sync gebootet. Interessant als letzte Rettung wenn die Kiste zwar noch auf Pings und ähnliches reagiert, aber ein Shellprompt nicht mehr zu kriegen ist.
Gigablast ist eine Suchmaschine die einige interessante Features bietet. Und vor allem sind die Suchergebnisse als RSS Feed verfügbar.
Plötzlich und unerwartet: 25 Minuten mit Bush - Falken unter sich.
Softwarepatentrichtlinie: EU-Parlament verlangt Neustart des Verfahrens - ob das jetzt die Kommission sonderlich beeindrucken wird? Das letzte Mal haben sie die Meinung des Parlamentes ja auch einfach ignoriert.
Vereinsnamen verpfänden?
BVB verpfändet Rechte am Klubnamen - und ich frage mich, wer bescheuerter ist: der Fussballverein, der seinen Namen verpfändet, oder der Versicherer, der behämmert genug ist sowas sinnloses als Pfand anzunehmen …
Voll bekloppt: der Sherry-Einlauf
Woman Kills Husband with Sherry Enema. Yep, das heisst genau das was da steht: ein Einlauf mit Sherry. Einem Alkoholiker - weil dieser nicht schlucken konnte.
Wenn man sowas liest, versteht man warum die Amerikaner all diese netten Warnungshinweise auf Produkten brauchen. Ein klarer Fall für Wonko.
Zope.org - FileStorageBackup ist eine Beschreibung vieler guter Hinweise wie man mit ZODB Datenbankfiles umgehen sollte. Speziell Replikation, Sicherung, Reparatur - also alles das was einen früher oder später in den Arsch beisst wenn man grössere Zope-Systeme betreibt.
AOL will das Surfen mit neuem Netscape-Browser sichern
AOL will das Surfen mit neuem Netscape-Browser sichern - wobei es wohl weniger um securing als insecuring geht: Netscape 8 wird Websites, die als vertrauenswürdig bekannt sind, wie Banken, Online-Dienste und Online-Shops, mit einem grünen Häkchen kennzeichnen. Diese Websites werden standardmäßig mit der IE-Rendering-Engine angezeigt, wobei die meisten Browser-Technologien aktiviert werden, um die Kompatibilität zu maximieren. Die Liste der vertrauenswürdigen Websites wird von Organisationen wie Truste stammen, sagten Quellen. Was für eine großartige Idee. Irgendjemand außerhalb meines Computers definiert eine Liste von Websites, auf denen das Viren- und Trojanerloch automatisch aktiviert wird. Super Idee. Ganz toll. Ich bin ja auch so scharf darauf, dass jemand anderes bestimmt, welche Rendering-Engine verwendet wird.
Mannesmann Prozess: Der Freispruch muss reichen– also auch wenns nur symbolisch wäre, ich fänds gut wenn er selbst die 10000 die ihm in erster Instanz zugesprochen wurden wieder verlieren würde. Noch schöner wäre natürlich wenn der Bundesgerichtshof dann doch auf Untreue urteilen würde, aber da hoffe ich warscheinlich vergebens …
Microsoft: Fehler in Buffer-Overflow-Schutz ist keine Schwachstelle - klar. Bill Gates will ja das Netz sicherer machen. Deshalb wird mal eben fix ein Bug nicht als Sicherheitslücke deklariert. Egal das man sich ja immer noch unter Windows schneller einen Trojaner oder Virus einfängt als man Piep sagen kann - und das dieser dann genau diese Lücke nutzen kann um das ganze schöne Sicherheitssystem zu kippen. Was für ein Unfug mal wieder ...
Nur ein Test für Anführungszeichen
Anführungszeichen – und andere Sonderzeichen – sind wichtig … sagte der Gerrit.
Wenn es wirklich dazu kommt das sich Scharping als BDR-Präsident bewirbt kann ich nur die roten Strolche zitieren: Leute, versucht Ziege zu wählen
schnelle kleine Webserver
lighttpd ist ein kleiner schneller Webserver mit einem recht beeindruckenden Featureset und dem klaren Antritt schneller und resourcenschonender als Apache zu sein. CGI, FastCGI und PHP (über FastCGI) wird ebenfalls unterstützt, er ist also auch für dynamische Seiten geeignet. Sollte ich mir vielleicht mal anschauen.
leahhttpd ist ein weiterer kleiner Webserver mit Schwerpunkt auf niedrigen Resourcen und hoher Performance. Auch hier ein recht beeindruckendes Featurespektrum.
boa ist der Opa unter den Webservern mit Performance und Resourcen Fokus. Allerdings bietet er nur CGI als Möglichkeit für dynamische Inhalte an. Also besser für die Auslieferung von rein statischen Inhalten geeignet.
Von allen dreien sieht lighttpd am interessantesten aus, unter anderem wegen der guten Unterstützung an Schnittstellen für dynamische Inhalte. Zumal der Server durch einen integrierten FastCGI-Loadbalancer auch schon von Hause aus für grössere Lasten ausgelegt ist. Und die Konzentration auf FastCGI anstelle von integrierten Modulen bietet zusätzliche Möglichkeiten bei der Security - der FastCGI-Prozess kann unter einem anderen (eingeschränkten) Benutzer laufen.
Seltsame Business-Ideen bei Providern
So nett ich Hetzner ja als Provider finde, manchmal haben die spinnerte Ideen. Jetzt kann man auch für seinen Entry-Server (das Einstiegspaket bei denen) zusätzliche IPs bekommen. Allerdings kosten die pro IP eine Monatsgebühr - ist zwar eigentlich ziemlich strange, da ja IP-Adressen nicht verkauft werden sollen laut RIPE - aber naja, ok, wegen meiner. Ich wär ja bereit für eine zusätzliche IP einen moderaten Betrag abzudrücken.
Aber die Vorstellung, das meine 250 GB Freivolumen nur auf die Haupt-IP gehen und auf den zusätzlichen IPs jedes angefangene GB bezahlt werden muss, auch wenn auf der Haupt-IP noch haufenweise freies Volumen ist - sorry, aber das ist schlicht bescheuert. Damit darf man die zusätzlichen IPs doppelt und dreifach bezahlen. Nix da. So wichtig ist mir eine zweite IP-Adresse für Testinstallationen oder ein isoliertes chroot-Jail mit isolierter Softwareinstallation dann doch nicht.
Der Fairness halber sollte man natürlich erwähnen das die nächstgrössere Rootserver-Lösung bei Hetzner dann IPs nach Bedarf ohne Monatsgebühr hat. Aber wie das dann mit der Verteilung des Freivolumens aussieht, weiss ich nicht - aus deren Webseiten geht das jedenfalls nicht hervor.
Nunja, bisher hat mich Hetzner dann immer irgendwann damit überrascht das seltsame und absurde Ideen irgendwann schlicht aufgegeben und durch sinnvolle Lösungen (z.B. das lange überfällige und jetzt verfügbare Notboot-System oder die Möglichkeit des Hardware-Updates beim Entry-Server) ersetzt. Ich geb auch bei den zusätzlichen IPs nicht die Hoffnung auf
Auch Affen zahlen für schöne Frauen - und als nächstes schicken die Spammer ihren Spam in die Zoologischen Gärten
Die Allmachtsphantastereien der Innenmister
junge welt vom 01.02.2005 - Die Datensammler flippen aus - jau, klasse Idee. Ordnungswidrigkeiten und Antiatomdemonstrationen sollen nach Beckstein, Schünemann und Schily zu gentechnischer Erfassung führen. Und weiter ab in den Polizeistaat, damit man schön die abweichenden Meinungen und das Lumpenproletariat unter Kontrolle hält. Weil dann sind wir ja alle so fürchterlich sicher.
Wer beschützt uns eigentlich wirksam vor durchgeknallten Politikern?
eAccelerator ist ein weiterer PHP Accelerator. Er baut auf dem Turck mmCache Source auf, ist aber aktiv in der Entwicklung.
Esser will 200.000 Euro von NRW - Millionen abzocken in dem man seine Mitarbeiter verkauft und dann noch auf Schmerzensgeld klagen. Armer, unverstandener Manager
Gizmodo : Epson HX-20 Portable Computer - ein wirklich nettes Gerät. Ich hab mir ja vor einiger Zeit auch mal einen gegönnt - als Ergänzung zu meinen zwei PX-8 Rechnern. Wirklich schnuckelig was damals so im Einsatz war. Und damit rumspielen macht einfach Spaß.
Heise.de wegen DDOS unten
Der Schockwellenreiter hat die Presseerklärung von Heise dazu. Sowas ist echt sch und ich drück den Heise-Technikern die Daumen das sie das möglichst bald in den Griff kriegen. Als Sysadmin leidet man bei sowas immer mit.
Huch? Mediazahlen im Januar ...
Also normalerweise erwähn ich die nicht, weil die sind ja doch eher putzig. Nur war ich dann doch heute ein bischen erstaunt:
8210 Besucher 15413 Besuche 73858 Seitenabrufe 1.96 GB Traffic
Das ist deutlich mehr als ich sonst immer hatte. Strange. Und da fehlt noch die erste Woche des Monats, da lief das ganze ja noch mit PyDS. Übrigens hab ich auch mehr Kommentare als sonst. Strange. Ich schreib doch garnicht besser als sonst ...
IBM zieht Intel in den SCO-Fall mit rein
GROKLAW hat den Text mit dem IBM Intel in das Verfahren gegen SCO mit reinzieht und zu einer Aussage zwingen will. Interessant - denn bisher war Intel meines Wissens noch nicht mit im Gespräch das die irgendwas damit zu tun haben könnten. Das IBM die mittels Vorladung dazu holt lässt auf jeden Fall darauf schliessen das IBM meint das Intel etwas wissen könnte was Intel nicht freiwillig offenlegen will.
Kanther droht Strafe - so sehr ich es begrüssen würde, glauben werde ich es erst wenn das Urteil auf dem Tisch liegt. Und die nächsten Instanzen durch sind. Denn irgendwie winden sich die Abzocker doch eh immer wieder raus ...
Die Kostenlose Rechtsberatung für Open-Source-Entwickler ist sicherlich wohl nur für US-amerikanische Entwickler wirklich nutzbar - aber vielleicht kommt vergleichbares ja auch nach Europa.
Microsoft und Macrovision wollen die "analoge Lücke" schließen - toll. Ganz toll. Irgendwann kann man den ganzen Rotz zum Fenster rauswerfen, weil man nichts mehr vernünftig ohne Dauerreglementierung nutzen kann. Lauter tolle Ideen für Kopierschutz, die eh alle Müll sind und in Wirklichkeit garnichts verhindern - ausser der völlig legalen Nutzung in irgendeinem alten Endgerät oder einem neuem, bei dem irgendso ein Müll mit anderem Müll kollidiert. Was für eine Moppelkotze.
Nuclear Elephant: DSPAM
Nuclear Elephant: DSPAM ist ein bayesian Spam Filter. Allerdings einer der nicht nur für einen User läuft, sondern üblicherweise für ein ganzes Rudel von Usern. Ich hab das auf simon.bofh.ms laufen um die Mailpostfächer dort alle zu scannen - es ist gut integrierbar und hat eine ganze Reihe interessanter Features. Zum Einen die Weboberfläche zur Verwaltung des Spamfilters, zum Anderen die recht pragmatische Methode um Fehlerkennungen an den Filter zu melden. Auch nett die recht weite Unterstützung von Datenbanken (MySQL, PostgreSQL, SQLite und mehrere db* Typen). Alles in allem macht es einen wirklich runden Eindruck - einziges Manko ist die fehlende Übersetzung der Oberfläche.
Ob es auch wirklich filtert kann ich natürlich mangels Masse noch nicht sagen - die Mails müssen sich erst ansammeln und trainniert werden. Userberichte sind aber - bayesian Spam Filter typisch - aber recht positiv.
Bei Schneier on Security gefunden: the weakest link. Soviel zum Thema Security
Solaris 10 steht ab sofort kostenlos zum Download bereit - auch wenn ich es sicherlich nicht produktiv einsetzen werde, angucken wär schon mal ganz sinnig.
Weg mit Trackback
Isotopp grübelt anlässlich des Spamtags über Trackback Spam und stellt mehrere Ansätze vor. Einer davon arbeitet mit einer Gegenprüfung der Trackback-URL gegen die IP des einsendenden Rechners - wenn der Rechner eine andere IP hat als der im Trackback beworbene Server, dann wäre das warscheinlich Spam. Ich hab mal meine eigenen Kommentare dazu zusammengeschrieben - und begründet, warum ich Trackback lieber heute als morgen los wäre. Komplett. Und ja, das ist eine komlette 180-Grad Wendung meinerseits zum Thema Trackback.
Der IP-Test-Ansatz kommt mal wieder aus der Sicht der reinen servererstellten Blogs. Es gibt aber dummerweise einen grossen Haufen Trackback-fähiger Softwareinstallationen die nicht auf dem Server laufen müssen (oft auch nicht laufen) auf dem die Blogseiten liegen - alle Tools die statischen Output produzieren zum Beispiel. Grosse Installationen sind Radio Userland Blogs. Kleinere PyDS Blogs. Oder auch Blosxom-Varianten im offline-Modus (sofern es da mitlerweile trackbackfähige Versionen gibt - aber das es typische Hackertools sind, gibts das mit Sicherheit).
Dann gibts noch die diversen Tools die nicht Trackback-fähig sind, wo die User dann einen externen Trackback-Agent benutzen um die Trackbacks abzusetzen.
Und last but not least kommen auch noch die diversen Blogger/MetaWeblogAPI-Clients hinzu, die selber den Trackback absetzen weil z.B. nur MoveableType im MetaWeblogAPI das Triggern von Trackbacks erlaubt, aber andere APIs nicht.
Von daher ist der Ansatz mit der IP entweder nur als ein Filter zu sehen der einen Teil der Trackbacks durchwinkt, oder aber eine Verhinderung von Trackbacks von den oben genannten Usern. Und letzteres wäre ausgesprochen unschön.
Eigentlich ist das Problem ganz einfach: Trackback ist ein krankes Protokoll das mit der heissen Nadel gestrickt wurde, ohne das sich der Entwickler auch nur einen Hauch von Gedanken zu dem ganzen Thema gemacht hat. Und gehört daher IMO auf den Müllhaufen der API-Geschichte. Das ich es hier unterstütze liegt einfach nur daran, das WordPress es standardmäßig implementiert hat. Sobald der manuelle Moderationsaufwand zu hoch wird, fliegt Trackback hier ganz raus.
Sorry, aber in dem Punkt Trackback haben die MoveableType-Macher wirklich Nähe zu Microsoft-Verhalten gezeigt: einen völlig unzureichenden Pseudo-Standard durch Marktdominanz durchgedrückt - ohne sich überhaupt mal über die Sicherheitsimplikationen Gedanken zu machen. Warum wohl bei RFCs immer ein entsprechender Absatz über Sicherheitsprobleme zwingend ist? Leider haben die ganzen Blogentwickler alle fleissig mitgezogen (ja, ich auch - bei Python Desktop Server) und wir haben dieses alberne Protokoll am Hals. Und seine - völlig erwartbaren - Probleme.
Besser jetzt eine bessere Alternative entwickeln und forcieren - z.B. PingBack. Bei PingBack ist definiert, das die Seite die einen PingBack auf eine andere Seite ausführen will auch wirklich diesen Link dort exakt so enthalten muss - im API werden immer zwei URLs übertragen, die eigene und die fremde URL. Die eigene URL muss im Source auf die fremde URL zeigen, nur dann wird der fremde Server den PingBack annehmen.
Für Spammer ist das ziemlich absurd zu handhaben - sie müssten vor jedem Spam die Seite umschiessen oder über entsprechende Servermechanismen dafür sorgen, das die gespammten Weblogs dann beim Test entsprechend eine Seite vorgegaukelt bekommen, in der dieser Link drin ist. Natürlich ist das durchaus machbar - aber der Aufwand ist deutlich höher und durch die nötige Servertechnik ist das nicht mehr mit fremden offenen Proxies und/oder Dialup-Zugang machbar.
Von daher wäre der richtige Weg einfach der Wechsel des Linkprotokolls. Weg mit Trackback. Das Trackback-Loch kann man nicht stopfen. PS: wer sich mal meinen Trackback in Isotopps Posting anguckt sieht gleich das zweite Problem von Trackback: abgesehen vom riesigen Sicherheitsproblem ist nämlich die Zeichensatzunterstützung von Trackbacks schlichtweg ein totales Debakel. Auch hier hat der ursprüngliche Autor des Pseudo-Standards keine Minute über mögliche Probleme nachgedacht. Und dann wundern sich noch manche Leute wenn TypeKey von den Moveable-Type-Leuten nicht so richtig akzeptiert wird - sorry, aber Leute die so bescheidene Standards machen werde ich auch noch gerade die Loginverwaltung übertragen ...