WAP, Internet & Multimedia Messaging (MMS) Einstellungen Netzbetreiber Deutschland - Telefon-Treff - Einstellungen für GPRS für verschiedene Handy-Netze. Benutzer muss aber web/web sein - sonst klappt das von meinem PDA aus nicht. Was immer noch nicht klappt ist MidSSH direkt auf dem Handy.
sysadmin - 8.8.2005 - 3.1.2006
Forscher neigen zu Übertreibungen
Jedenfalls wenn der Spruch im Artikel zum Forschungszentrum für Computer-Sicherheit an der Uni Passau korrekt wiedergegeben ist:
Dafür haben die Passauer Wissenschaftler Testmethoden entwickelt, die Sicherheitslücken aufspüren sollen. "Das System arbeitet sehr genau und produziert keine falschen Alarme", sagte Professor Gregor Snelting. "Unser Analyseverfahren ist zwar aufwändiger als Standard-Prüfmethoden, dafür entgeht uns aber garantiert kein Sicherheitsloch".
Ja klar. Garantiert alle Sicherheitslöcher finden. Logisch. Halteproblem bei Programmen? Egal. Software läuft noch auf klassischen Prozessoren, und hat damit eine völlig ungesicherte Schicht? Egal. Klar, wir finden alle Sicherheitslöcher.
Schwachsinn. Solche blödsinnigen Behauptungen disqualifizieren nur denjenigen, der sie äußert - hoffen wir also mal, das da einfach nur ein Journalist einfach nur das gehört hat was er hören wollte. Oder das es nur ein dummer Assi war, der gefragt wurde ...
Internet Explorer ist schlecht
Schneier on Security: Internet Explorer ist Mist
MSIE war zu 98 % unsicher. Es gab nur 7 Tage im Jahr 2004 ohne eine öffentlich bekannte, ungepatchte Sicherheitslücke. [...] Dies unterschätzt das Risiko, weil es Schwachstellen nicht berücksichtigt, die den Bösewichten bekannt sind, aber nicht öffentlich bekannt gegeben wurden (und es ist töricht anzunehmen, dass solche Dinge nicht existieren). Daher ist die Angabe von "98 % unsicher" für MSIE großzügig, und die Situation könnte sogar noch schlimmer sein.
Autsch. 7 Tage ohne veröffentlichtes Loch mit passendem Exploit. Und Leute benutzen diesen Müllhaufen immer noch ...
Experten am Werk
Wenn ein Forensik-Software-Hersteller seine eigenen Werkzeuge im eigenen Haus einsetzen muss, ist das schon peinlich. Wenn dann dieser Hersteller aber auch noch bei der Speicherung von Kreditkarten patzt, sollte man den Hersteller vielleicht besser meiden ...
Möglich war der Betrug auch deshalb, weil Guidance die Prüfnummer der Karten speicherte, was die Geschäftsbedingungen von Visa und Mastercard eigentlich untersagen.
leichte Instabilität dieser Site
Im Moment hab ich ein paar kleinere Stabilitätsprobleme - der Serverprozess scheint Filedeskriptoren zu "verlieren" - irgendwann gehen die dann aus und der SCGI-Server wird gekillt. Im Moment hab ich noch keine Ahnung warum das passiert - andere Sites mit der gleichen Serversoftware (FLUP - ein SCGI/FCGI Server für Python) haben das Problem nicht. Jetzt läuft erstmal ein regelmäßiger Cronjob, der in der Prozesstabelle nachguckt, ob mein Prozess noch läuft - und wenn nicht, diesen einfach nachstartet. Und als nächstes werd ich mir wohl ein Debugging-Szenario einfallen lassen müssen, mit dem ich das irgendwie eingekreist bekomme ...
Sams Teach Yourself Shell Programming in 24 Hours - Ein ganzes Buch über Shell-Programmierung. Und damit natürlich auch eine recht gute Einführung in die diversen Tools, die Unix-Systeme zur Verfügung stellen. Sicherlich jedem zu empfehlen, der sich z.B. einen Root-Server zugelegt hat und da jetzt mehr mit machen will - aber eben sonst Linux eher vom GUI her kennt.
jacobian.org : Django performance tips - Jacob, einer der Dango Core-Devs schreibt über Performance-Tuning für Django Applikationen. Deckt sich stark mit meinen Erfahrungen.
pgpool page - interessanter Verbindungsproxy für PostgreSQL mit Connection-Pooling und Datenbank-Failover.
Overview of new features in Apache 2.2 - Apache HTTP Server - was alles so neues in Apache 2.2 kommt. Sehr interessant: der Event-MPM. Damit meldet Apache bei Keep-Alive-Sessions endlich wieder zurück an der Spitze (bisher muss Apache pro Keep-Alive einen Worker reservieren, was Apache für Streaming bei grösserer Client-Zahl nahezu unbrauchbar macht).
What’s New in WordPress 2.0? · Asymptomatic - auch wenn ich bald von Wordpress weg bin, interessant ist es allemal zu gucken was sich da tut. Ausserdem wird sicherlich mindestens die Metaeule ja auch weiterhin mit Wordpress laufen.
AirPort Blog - ein Weblog rund um Airport (Apple WLAN Lösung)
DOPE Squad Security - open source WLAN driver für Apple Airport. Gedacht für Nutzung als passiver WLAN Scanner.
Holografische Wechselmedien mit bis zu 1,6 Terabyte
Neues von den holografischen Speichermedien:
Die Scheiben sollen sich aber zunächst nur mit 20 Megabit pro Sekunde befüllen lassen und nach dem Beschrieb mindestens 50 Jahre halten.
Bitte das ganze mit bezahlbaren Medienpreisen, dann hab ich endlich ein brauchbares Archivierungsmedium für Bilder ...
How Secure is WEP, Anyway? - ein interessnter Link zur Sicherheit von WLAN, speziell wie leicht es ist ein WLAN mit WEP zu knacken.
Microsoft standardisiert Office-Formate in ECMA
Stephen Walli (Ex-Microsofter) über die zu erwartenden Fallstricke in der letzten Microsoft-Aktion:
Es wird wahrscheinlich eine gebührenfreie Lizenz sein, weil die aktuelle Patentlizenz für die proprietäre Spezifikation gebührenfrei ist. Diese Patentlizenz konnte jedoch nicht unterlizenziert werden, sodass ein Implementierer, der seine Implementierung unter der GPL lizenzieren wollte, dies nicht konnte. Tatsächlich zwangen frühere Beispiele rund um den IETF-SenderID-Standard Benutzer anderer Implementierungen dazu, eine Lizenz mit Microsoft abzuschließen, was ein eher lästiges Problem für frei lizenzierte Software ist.
Der Hinweis auf die SenderID-Geschichte ist durchaus wichtig: Dort hat Microsoft auch ständig davon geredet, dass es ein offener Standard sei, aber dabei immer verschwiegen, dass deren Verständnis von offenen Standards absolut inkompatibel mit vielen Bereichen der Open-Source-Entwicklung sind. Mit Sicherheit wird Microsoft wieder die GPL blockieren.
Abgesehen davon, ich finde es schon ziemlich armselig, wenn Microsoft sich schlicht weigert, ODF zu implementieren und meint, einen eigenen Pseudo-Standard ihres Krams machen zu müssen - zumal man ja genau weiß, wie sich Microsoft dann zu solchen Standards verhält. Die werden dann wieder an den passenden Stellen erweitert und schon ist es vorbei mit dem freien Zugriff.
Linux on an Apple Powerbook G4 - noch mehr zum Powerbook und Linux, hier gibts auch anständige Tastaturbelegungen.
Ubuntu on the PowerBook G4 (powerbook5,6) beschreibt ein paar der Probleme die man mit Ubuntu auf Powerbooks hat - für mich als Referenz, wenn ich mein Notebook umstelle.
Ubuntu und Powerbook
Ok, da mein Mac Mini fleissig rödelt und alles funktioniert wie es soll, hab ich dann mal die Gelegenheit genutzt und auf meinem Powerbook Ubuntu installiert. Ich wollte ja endlich mal wieder gucken wie gut sowas heute klappt - früher waren Notebooks ja noch echtes Abenteuer mit Linux.
Grundsätzlich sieht das ganze sehr gut aus - wie schon der erste Eindruck von der Live-DVD. Alles startet ordentlich, die Komponenten werden grösstenteils gut erkannt und die Einstellungen sind weitestgehend sinnvoll - gerade die einfache Installation (für einen Testflug benutze ich gerne den DAU-Modus, einfach um zu gucken wie gut die Leute ihren Job verstehen) hinterlässt ein rundum gut eingerichtetes Desktop System.
Blöderweise habe ich aber ein Notebook. Und zwar ein Powerbook.
Naja, die Software an sich läuft. Der Desktop ist nett eingerichtet und die Auswahl an Software ist sehr brauchbar - auch die ganzen Notebooksachen sind weitestgehend installiert. Was fehlte?
Nunja, fangen wir mit dem einfachsten an: ein Powerbook hat nunmal eine feste Tastaturbelegung - die Tasten sind beschriftet. Ich hab nicht vor die Beschriftung abzurubbeln und auf PC umzulackieren. Wieso liefern die Torfnasen keine Powerbook-Tastaturbelegung mit? Ich hab zwar was im Netz gefunden, aber um das dann einzuhängen sind grössere Handstände (entweder einen nicht vollständig funktionierenden Patch einspielen oder den X-Startprozess anpassen - beides nicht unbedingt DAU-geeignet) nötig. Wieso kommt sowas nicht direkt mit dem System? Schliesslich sieht doch jeder, der ne Mac-Tastatur mal vor der Nase hat, das die nun wirklich nicht identisch mit PC-Tastaturen ist. Verschärft wird das ganze noch dadurch, das durchaus einige Mac-Tastaturlayouts dabei sind - die aber alle nur mit alten ADB-Tastaturen Sinn machen, denn sie haben völlig andere Tastaturcodes.
Dann das nächste: Powermanagement. Es wird ein Haufen Software installiert, der grösstenteils ohne brauchbare Doku daher kommt. Das macht nix - eigentlich sollte alles einfach nur eingerichtet sein. Und es ist grösstenteils auch eingerichtet: schliesse ich mein Display und öffne ich es, wird im daemon.log ordentlich eingetragen das pbbuttonsd das passende Script ordentlich ausführen konnte.
Wäre nur nett gewesen, wenn das Script dann auch irgendwas gemacht hätte ...
Leute, Powermanagement ist nicht irgendwie nice to have mit einem Notebook, das ist essentiell. Und eigentlich ist alles dafür notwendige vorhanden. Packt es bitte mit drauf und benutzt es auch. Die Installation von Ubuntu sieht jedenfalls so aus, als ob da einfach irgendwie der Teil, der die Aktionen ausführen würde, weggelassen wurde. Und in welchem Paket das nun wieder stecken könnte, hab ich auf die Schnelle nicht gefunden.
Dann Bluetooth. Das System erkennt alles mögliche und irgendwas wird auch irgendwie gemacht mit irgendwem - aber wie und was und wo man jetzt mit Bluetooth machen kann, das sieht man irgendwie nicht. Hey Leute, Bluetooth ist ja nun wirklich nicht mehr ultraneu, und für Linux gibts da auch schon länger was - wir wärs denn mal mit wenigstens rudimentären Werkzeugen, die einem den Status anzeigen?
WLAN tuts immer noch nicht - kann aber Ubuntu nix für, ist der blöde Hersteller der Karten. 3D-Beschleunigung der Grafik tut auch nicht, weshalb der Desktop doch etwas zäher ist als nötig wäre - gleicher Grund wie bei WLAN. Wirklich schade, das Hardware-Hersteller einem freien Betriebssystem noch extra Steine in den Weg legen.
NIckeligkeiten am Rande: das Trackpad ist bescheuert hektisch eingestellt - nahezu unbedienbar für Menschen mit motorischen Problemen. Konservativere Einstellungen wären deutlich sinnvoller. Und Gnome ist immer noch recht verschwenderisch mit Bildschirmplatz - hey, mein Notebook hat nunmal nur 1024x768, ich kann da nicht einfach Pixel anbauen!
Alles in allem bestätigt Ubuntu seine gute Eignung als Desktop-System - denn das installierte System an sich ist wirklich brauchbar. Aber Notebooks sind immer noch das letzte Abenteuer für die ganz Harten.
Und mein Notebook? Naja, ich werd wohl einfach wieder den Tiger drüberbügeln
Tja, mal wieder verbockt, Intel: Hyperthreading hurts server performance, say developers - was war nochmal der Grund, warum Apple auf die Intel-Prozessoren setzt? Bessere Performance? Pfffft.
Apples WebObjects mit neuen Lizenzbedingungen
Apple hat die Lizenzfragen zu WebObjects geklärt - Deployment auf Linux-Kisten ist jetzt auch ganz normal erlaubt. Damit ist die XCode-Umgebung mit WebObjects jetzt also komplett von Entwicklung bis Deployment Freibier.
Linux-Vserver on Debian Sarge - da sagt der Titel schon alles. Bookmark für später - könnte für meinen Server interessant werden.
Mac-on-Linux - komischerweise nie geblogmarkt, daher jetzt. Mac Betriebssysteme in einer virtuellen Umgebung unter Linux auf Macs laufen lassen - ideal für Linux-betriebene Mac-Minis auf denen man doch noch das eine oder andre OS X Programm haben will ...
Mac-on-Mac ist das inverse Gegenstück zu Mac-on-Linux - ein Port der virtuellen Maschine nach OS X, mit der man dann Linux oder andere Mac-Systeme unter OS X in einer virtuellen Umgebung laufen lassen kann. Status ist noch sehr roh ...
Phishing: Auch die iTAN bietet keinen Schutz - was ja eigentlich jedem vorher klar war, aber natürlich die Banken nicht gehindert hat, diesen Unfug als die beste Erfindung seit geschnittenem Weißbrot zu vermarkten ...
Googles Web Accelerator and Damager
Google at it again - Ian sagt eigentlich schon alles, was es dazu zu sagen gibt. Google behauptet, sie wollten nicht "evil" sein. Aber dafür sind sie grenzenlos dämlich, wie sich am wiederholten Start des Web-Damagers zeigt.
Was macht der Web-Accelerator, und warum ist er so ein dämliches Stück Software? Nunja, er verfolgt einfach nur Links. Und zwar im Vorab, bevor der Benutzer es macht - sozusagen spekulatives Webcrawlen, nur eben privat für den Benutzer. Das klingt ja erstmal garnicht so schlimm, ausser das Server mit Traffic bombardiert werden, den sie möglicherweise so nie hätten - denn jeder Link wird schön weitergewandert, auch wenn der User da garnicht hin geht. Und das multipliziert mit den Benutzern die das Teil einsetzen ...
Aber der Traffic ist nicht das eigentliche Problem - das eigentliche Problem kommt erst, wenn man sich überlegt in welchem Context das Teil läuft. Und zwar hängt es ja auf dem privaten Rechner des Benutzers, zwischen Browser und Netz. Einfach ein eigener kleiner Proxy. Der für seine Arbeit sich Cookies und ähnliches merkt und an die Seiten dann Requests schickt, die so aussehen als kämen sie vom Browser des Benutzers. Mit dessen Security-Headern. Und Cookies.
Abgesehen davon, das ich es nicht sonderlich prall fände wenn meine Header mit Passwörtern oder Sessioncookies woanders als im Browser und im Zielserver auftauchen - diese Vorgehensweise ermöglicht es dem Webaccelerator sich auch Bereiche anzugucken, die ein zentraler Crawler nicht sehen würde. Nämlich zum Beispiel Seitenbereiche, die hinter Logins liegen. Content-Management-Systeme, bei denen nach Login zusätzliche Links auftauchen. Wikis, deren Edit-Links dann kommen, wenn jemand eine Session startet. Webmailsysteme, bei denen jede Mail als ein Link abgebildet ist.
All diese Systeme haben eines gemeinsam: für verändernde Aktionen ist nicht immer ein Formular-Absenden notwendig. Oft reicht es, einen Link zu klicken. Die aktuelle Version einer Seite im Wiki zu löschen, um schnell Wikispam zu beseitigen - ein einfacher Link, nur für den angemeldeten Benutzer sichtbar. Die Mail im Webmail-Postfach, die bei Aufruf automatisch auf gelesen gesetzt wird. Der Veröffentlichen-Link im CMS, mit dem eine Seite scharfgeschaltet wird.
Natürlich versuchen verantwortungsvolle Programmierer von Webanwendungen die destruktiven Aktionen hinter Formulare (und damit POST Requests) zu packen, damit nicht ein einfacher Link irgendwas zerstört. Aber das passiert in der Regel nur in den öffentlich zugänglichen Bereichen, bei denen sonst die Webrobots der diversen Suchmaschinen und Spam-Automaten sonst Chaos verursachen würden.
Aber gerade in den durch Login abgeschotteten Bereichen rechnet man normalerweise eben nicht mit Automatenklicks - und baut daher Komfortfeatures ein, weil man ja sicher sein kann, das ein Link bewusst und in Absicht geklickt wird.
Tja, bis dann der Web Accelerator von Google kam. Von der Firma, die von sich behauptet das Web kapiert zu haben. Schönen Dank auch, ihr Arschlöcher.
PS: und entgegen der ersten Version schickt die neue Version keinen Header mehr mit, an dem man die Prefetch-Requests erkennen könnte um sie in solchen kritischen Bereichen zu blocken.
Spam-Blockliste lief Amok
Und jetzt ratet mal welche das war? Genau - SORBS. Meine Lieblings-Ansammlung technischer Inkompetenz und sozialer Blödheit. Könnte nicht mal jemand eine UDP gegen die Pfeifen einleiten?
Ubuntu Breezy Badger
Ich hab mir mal die Live+Installations DVD gezogen (hey, T-DSL 3000 rules! und muss sagen, ich bin echt erstaunt. Ok, ein paar Haken hat das ganze: das Tastaturlayout ist als Standard für den PC vorgeschlagen - aber ein Mac-Notebook kann unterschiedliche Layouts haben (extern eine PC-Tastatur, intern aber immer eine Mac-Tastatur), da müsste die Auswahl etwas geschickter sein. Stellt man auf die Macintosh-Tastatur der Auswahl um, funktionieren Sonderzeichen wie das Pipe-Symbol und die geschweiften und eckigen Klammern und AT und sowas alles nicht mehr - bei PC-Belegung stimmt aber die Beschriftung der Mac-Tastatur nicht. Und eine Belegung für die Mac-Sonderzeichen gibts nicht.
Was ebenfalls nicht funktioniert ist der zweite Monitor - er wird einfach nicht erkannt und aktiviert, nicht mal initialisiert wid er. Schon schade, denn Macs haben ja nunmal von Hause aus Multi-Monitor-Unterstützung, jedenfalls die PowerBooks und PowerMac Modelle (die iBooks und iMac nur teilweise und dann nur mit Hacks). Das sollte meiner Meinung auch noch mit rein.
Aber ansonsten - nette Sache. Das WLAN nicht erkannt wird, ist normal - bzw. es wird erkannt, aber ist nicht nutzbar. Apples WLAN Chips sind da öfter nicht unterstützt. Wo das Bluetooth konfiguriert wird, weiss ich auch nicht - warscheinlch müsste ich dazu erstmal Pakete installieren. Aber das könnte meiner Meinung nach auch automatisch gemacht werden, wenn ein Bluetooth-Adapter erkannt wird. Trotzdem, im Grossen und Ganzen wirkt Ubuntu recht nett - es kommt mit brauchbaren Defaults hoch und unterstützt schon gleich eine Menge des Rechners. Und die recht weitgehende Übersetzung zumindestens von Menüs und Dialogen im Gnome ist sehr angenehm.
Und das unten drunter eine Debian-Architektur werkelt ist mir natürlich ganz besonders lieb
Katastrophal ist aber, das in der Live-CD scheinbar nirgendwo ein Terminal gestartet werden kann ...
Version Control with SVK
Version Control with SVK ist ein Online-Buch über SVK - ein verteiltes Versionssystem, das sehr gut mit SVN und CVS (unter anderem) harmoniert. Und gerade für die Arbeit mit Patches für Upstream-Systeme und für lokale Forks von Open Source Software eine ziemliche Erleichterung bietet.
Das Buch ist alles andere als Komplett, aber man findet schon eine ganze Menge an Informationen darin.
Twisted Names muss ich mir mal angucken - ein DNS server in Python auf Twisted-Basis. Könnte ich ja auf DB-Benutzung umstricken, als Alternative zum PowerDNS.
Nessus demnächst unbrauchbar
Denn Nessus wird Closed Source - Golem.de:
Die größte Änderung für Nessus 3 birgt aber die Lizenz. Wurde Nessus bislang als Open Source unter der GPL entwickelt und angeboten, soll die Version 3 nicht länger unter der GPL veröffentlicht werden. Zwar werde die Software weiterhin kostenlos angeboten, auch für Windows, aber der Quellcode wird nicht mehr veröffentlicht.
Und ein Security-Scanner zu dem der Source nicht verfügbar ist, ist schlichtweg Mumpitz und Snakeoil. Denn gerade Werkzeuge im Sicherheitsbereich brauchen dringend den Peer-Review der bei Open Source Software in dem Bereich absolut üblich ist.
TC Trustcenter insolvent
Das TC Trustcenter hat Insolvenz angemeldet - autsch. Da hatte sich ja garnichts in den Medien zu angekündigt - auf einmal futsch. Ziemlich ärgerlich, denn in .de gibts nicht so viele Stellen wo man Serverzertifikate bekommt, die auch in Browsern mit Standardauslieferung akzeptiert werden ...
What has Trusted Computing to do with Trust?
Klar, kennt schon jeder und ist durch alle Blogs gegangen, aber der Film ist so nett gemacht, den muss man öfter linken: A movie about Trusted Computing. Denn der Film nennt genau den zentralen Punkt: wenn die Industrie entschieden hat, das sie dem Benutzer nicht vertraut - warum sollen die Benutzer der Industrie vertrauen?
Sie machen die gleiche Scheisse wie in den USA
Auch hier gibt der Staat einem Wahlmaschinenhersteller Rückendeckung und hält die Prüfberichte wegen angeblichem Know-How-Schutzes unter Verschluss:
Dass das BMI die Prüfberichte unter Verschluss hält, wiege vor dem Hintergrund eines Verzichts auf eine zusätzliche, von der Elektronik unabhängige Stimmenerfassung, besonders schwer, kritisiert Wiesner: "Welche Software im Wahllokal tatsächlich zum Einsatz kommt und wie manipulationssicher die eingesetzten Geräte sind, ist weder vom Wähler noch vom Wahlvorstand im Wahllokal zu ermitteln." Das Formular für die Wahlniederschrift sehe konsequenterweise auch gar nicht vor, dass auch nur die vorgebliche Programmversion protokolliert wird.
Für mich ist das genauso dubios wie der gleiche Mist in den USA. Wahlcomputer müssen - wenn sie vertrauenswürdig sein sollen - einer öffentlichen Diskussion standhalten. Der angebliche Know-How-Schutz des Herstellers darf nicht höher bewertet werden als das Recht des Bürgers auf Information wie die Stimmenzählung vonstatten geht. Das ist schlicht absurd, was das BMI sich da leistet - aber was erwartet man von der Behörde von Otto Orwell auch anderes
DjangoScgi - Django-Projekte - Trac
Django mit Apache und SCGI und Django mit Apache und FCGI sind zwei überarbeitete Dokumentationen, wie man Django mit sowohl FCGI als auch SCGI unter Apache zum Laufen bringt. Ich verwende dieselben Teile wie bei meinen vorherigen Howtos, nur dass jetzt auch SCGI unterstützt wird.
Meine Galerie läuft derzeit mit der Apache+SCGI-Konfiguration, es ist ganz schön. Die Konfiguration in Apache ist viel schöner und sauberer als mit der FCGI-Konfiguration.
Seit 2007 funktionierten die Links auf dieser Seite nicht mehr, daher habe ich sie entfernt.
Security by complete Stupidity
Jetzt ist klar, wie man an die Telefonnummer von Paris Hilton kommt:
Die Hacker riefen in einem T-Mobile-Laden an und gaben sich als Mitarbeiter der Firmenzentrale aus. Es gebe Netzwerkprobleme, sagten sie, und ließen sich die nicht öffentlich bekannte Internet-Adresse der T-Mobile-Kundendatenbank geben sowie die nötigen Login- und Password-Informationen.
Autsch. Autsch. Autsch.
Manchmal spinnen die Debianistas
Aus der Antwort auf einen Bugreport von mir über eine völlig falsche Version von mod_perl 2:
I'm afraid you will be out of luck here, if I understand the issues correctly. The official release of mod_perl 2.0 never made it to Sarge, the 1.999.21-1 packages in Sarge is a pre-release. The problem was that shortly before mod perl2 went stable, the upstream developers decided to rename lots of things in the API, and Sarge shipped the old API. Thus, mod perl 2.0 as shipped with Sarge won't run in the rest of the world, and vice-versa. Also, the documentation will be confusing. [...] So, well, this isn't a good situation, but it is something we have to live with.
Bitte was? Die haben ja wohl ein Rad ab. Nochmal zum Mitmeißeln: die mod perl 2 Version in Debian Sarge - die aktuelle stabile Debian - ist weder mit der alten mod perl 1 Version noch mit der wirklichen mod perl 2 Version kompatibel, weil es eine 1.99sonstwas ist, die ein ziemlich an deres API hat. Anwendungen die darauf aufbauen sind nicht portabel von der alten Version und nicht portabel zur neuen Version. Wer mit der Debian Sarge und Apache2 und mod perl arbeiten will, muss sich erst einen Backport besorgen, denn die Version da drin ist einfach nur völlig falsch.
Sowas ist doch hirnrissig. Klar, gut, die mod perl 2 ist nicht rechtzeitig zum Release fertig geworden, aber die derzeitig in Sarge befindliche Version ist schlichtweg Müll. Und anstatt die rauszuwerfen wird so eine Zwischenversion reingepackt und jedem der mod perl Anwendungen auf Apache 2 portieren will das Leben schwer gemacht - und zwar gleich doppelt, denn mit dem nächsten Release darf man dann nochmal portieren.
Und heute nacht dann der Hammer:
The only valid complaint in this bug report is the fact that we don't include pre-2.0 API docs in sarge. Debian makes absolutely no guarantees that the version of a package shipped in a stable release will match whatever the current API is on its upstream website.
Zusammenfassung: wir haben nichts verstanden und bestehen darauf uns wie Vollidioten zu verhalten. Statt die schrottige Release - die auch von Upstream als "don't use" eingeordnet ist - wenigstens rauszuwerfen wird jetzt einfach nur als Wishlist-Bug die fehlende Dokumentation gelistet.
iTAN-Verfahren auch nicht sicher
Die iTANs (indizierte TANs - wie von der Postbank jetzt eingeführt) sind auch nicht der Weisheit letzter Schluss gegen Phishing-Attacken. Der klassische Angriff wäre einfach beim Phishing den Benutzer auf eine eigene Site umzuleiten und dann parallel mit den Eingaben des Benutzers die Transaktion mit der Bank abzuwickeln - nur natürlich in anderer Form als dem Benutzer gezeigt wird. Statt einfach eine TAN abzufordern wird eben erst der Bankserver angesprochen und die von dort verlangte TAN dann vom Benutzer abgefordert. Mit dieser TAN kann dann problemlos eine Buchung vorgenommen werden wärend der Benutzer im vermeintlichen Sicherheitsupdate - oder was auch immer die Phishing-Attacke vorgegaukelt hat - verbringt.
Das RedTeam hat dazu ein Szenario zusammengestellt und mit den Banken gesprochen:
Laut Umfrage des RedTeams wurde das geschilderte Problem von den Banken zwar weitestgehend verstanden, allerdings nicht ganz ernst genommen. Man wolle an der Darstellung der sicheren iTANs weiterhin festhalten. Eine Bank argumentierte, dass der Angriff sehr schnell sein und innerhalb von sieben Minuten stattfinden müsse. Ein anderes Institut wolle erst dann von seinen Aussagen Abstand nehmen, wenn der erste Schadensfall bei einem Kunden eingetreten sei.
Die selbe arrogante Haltung die bei Banken schon immer gegen Missbrauch eingenommen wurde - anstell die Probleme selber anzugehen oder auch mal Sicherheitsprobleme aktiv zu beschreiben und so die Mündigkeit der Kunden ernstzunehmen wird abgewiegelt und gelogen. Und für so einen Mist müssen wir dann Buchungsgebühren bezahlen.
1&1 spinnt
Denn da gibts jetzt eine Zwangsumleitung:
Wenn Karlsruher Kunden des Providers 1&1 eine neue DSL-Verbindung aufbauen und danach den Browser starten, bekommen sie neuerdings stets das 1&1-Portal angezeigt.
Na toll. Und wenn diese ersten Requests von irgendwelchen Scripten eines Servers an dem DSL-Anschluss stammen, fallen Scripte da auf die Nase. Nur weil 1&1 mal wieder eine selten dumme Idee hatte. Und wir dürfen das dann den Kunden wieder erklären, warum da irgendwas obskures nicht funktioniert - und das alles nur für Marketingscheiss.
Cooperative Linux ist ein Port des Linux-Kernel als Windows-Applikation. Dadurch kann man Linux als Windows-Anwendung laufen lassen, ohne einen Virtualisierer wie VMWare bemühen zu müssen.
die seltsame Neigung der PHP-Programmierer zu eval
Schwachstellen in PHP-Modulen gefährden (mal wieder) zahlreiche Webapplikationen - und zwar wieder mal XML-RPC. Da wird immer noch eval benutzt - und zwar zur Auswertung von Tags. Bitte was? Sorry, Leute, aber das ist einfach nur noch albern - eval ist euch schon mal um die Ohren geflogen, warum wurden die ganzen Aufrufe nicht damals schon rausgeworfen? Oder wenigstens vernünftig gesichert?
Und da wundern sich Leute wenn ich von PHP-Software nicht allzuviel halte ...
lahmes Posten in WordPress
Das neue Wordpress 1.5.2 soll endlich das lahme Posten - verursacht durch das Pingen - beheben, in dem das Pingen in den Shutdown geschoben wird, also hinter die eigentliche Request-Response-Kette. Auf Deutsch: mit der 1.5.2 sollte das Pingen nicht mehr ein ewiges Warten auf den Browser verursachen. Wäre ja sehr nett, wenn das auch klappt.
Da auch Security-Fixes drin sind, ist eh ein Upgrade sinnvoll. Wobei WordPress für eine PHP-Anwendung erstaunlich stabil funktioniert - aber eben trotzdem durchaus noch die eine oder andere Leiche im Keller gammelt.
Update: naja, schneller ist das ja nun doch eher nicht geworden beim Posten ...
RBL Betreiber mal wieder
Nachdem ich schon im April drüber geschrieben habe, ists jetzt auch endlich im Heise Ticker: RFC-ignorant: Alle .de-Domains unter Spamverdacht. Die Ignoranten von RFC-Ignorant werden sicherlich ihre Meinung nicht ändern, aber vielleicht nimmt jetzt der eine oder andere Provider diese hirnrissige Sperrliste aus der Mailkonfiguration raus.
Fuck, langsam geht mir awstats.pl ziemlich auf den Senkel. Bin schon am Überlegen ob ich nicht doch wieder auf webalizer umsteige, der produziert nur doofen statischen Output. Kann aber leider auch weniger.
Privacy-Update unter OS X
In IRC, identd und Privacy hatte ich mich drüber mokiert das die Proxies mit SOCKS-Support eher dünn gesäht sind - mitlerweile ist das deutlich besser geworden. Denn X-Chat Aqua ist mitlerweile in einem Zustand der als sehr brauchbar bezeichnet werden kann - nach vielen Jahren Snak-Benutzung bin ich jetzt tatsächlich umgestiegen.
X-Chat Aqua unterstützt SOCKS und erlaubt es damit direkt tor zu benutzen. Allerdings ist das nicht SOCKS4A - von daher werden Nameserver-Auflösungen immer noch sichtbar. Idealerweise trägt man einfach die IP-Adresse des Servers ein, dann braucht keine Namensauflösung zu passieren.
Bei Jabber siehts mitlerweile mit PSI auch sehr gut aus - PSI ist unter OS X sehr brauchbar und die Darstellungsprobleme älterer Versionen sind auch behoben. Und PSI arbeitet ebenfalls mit tor zusammen.
Browsen über tor ging schon vorher problemlos, aber mit den aktuellen Mac OS X Builds von tor ist das ganze auch noch nett einfach zu installieren. Als Tipp: ich habe mir eine eigene Netzwerkkonfiguration angelegt, mit der ich die Proxy-Einstellungen leicht wechseln kann. Damit kann ich dann einfach im Apfelmenü Privoxy+Tor ein- und ausschalten wie ich es brauche. Funktioniert natürlich nur mit Browsern die ihre Proxy-Einstellungen aus den Systemeinstellungen holen.
ssh-Nutzung über tor ist mit dem ProxyCommand-Kram einfach machbar. Eine Anleitung ist in der Torify HowTo. Viele der dort genannten Tipps funktionieren auch unter OS X, da ja ein normales Unix drunter liegt.
Mac OS X Intel hacked to run on standard PCs
Ist ja schon bitter wenn OS X Intel schon gehackt ist, bevor es eigentlich verfügbar ist:
MacBidouille reports that the Apple Developer kit version of Mac OS X x86, released to developers in early June, has been "hacked" to work with a PC notebook. The report includes a video showing Mac OS X x86 booting natively on a Pentium M 735-based notebook.
Und das trotz TPM und ähnlichen Spielereien. Vielleicht sollte Apple doch wieder auf PowerPC zurückswitchen, das ist zwar nicht sicherer, aber wenigstens gibts keine Alternativhardware zum Spottpreis wie bei den Intels
Coooool!
BlackDog ist ein PowerPC-Rechner mit 64 MB Speicher und 512 MB Flash-Disc in einem Mini-Gehäuse das man in jeden PC mit Windows oder Linux in den USB-Port stöpseln kann. Dort übernimmt dann der PowerPC-Prozessor die Tastatur, die Maus und den Bildschirm und startet sein Debian Linux, dessen Desktop man dann auf dem PC sieht.
Das Teil läuft nur aus der USB Stromversorgung und hat noch zusätzlich eine biometrische Zugangssicherung per Fingerabdruck. Wow. Schöne kleine Hackerkiste für unterwegs, man muss nur einen Wirtsrechner vorfinden.
Und es ist komplett in der Architektur offen und hackbar - es gibt sogar einen Hack-Wettbewerb um interessante Anwendungen dazu zu entwickeln. Wobei mir schon klar wäre was ich draufpacken würde - all die notwendigen Netzwerktools. Ich glaube ich muss mal in der Firma den Chef motivieren das wir dringend mal gucken müssen was man mit so einem Teil machen kann. So einen heftigen haben wollen Reflex hatte ich schon lange nicht mehr.
Oracle Cluster File System 2 für Linux
Das Oracle Cluster File System könnte schon eine nette Alternative zu GFS und Coda sein - jedenfalls wenn das hier wirklich passiert:
Der für den Linux-Kernel 2.6 verantwortliche Linux-Entwickler Andrew Morton will das Oracle Cluster File System in der Version 2 möglichst bald in den offiziellen Linux-Kernel aufnehmen. Schon Linux 2.6.14 könnte das OCFS 2 enthalten und wäre dann die erste Cluster-Komponente im offiziellen Linux-Kernel.
Den bisherige Clusterfilesysteme kranken gerade unter der fehlenden Integration - meist kann man sie eben nicht in jeder Kernelversion benutzen. Für mich interessant ist natürlich noch wie selbstständig die Knoten wirklich sind und ob es auch beim Oracle Cluster Filesystem einen single point of failure gibt, wie in es z.B. der Lockingdaemon bei OpenGFS ist. Bisher waren wir in der Firma nicht sehr erfolgreich in der Evaluierung von Clusterfilessystemen, eigentlich waren alle irgendwie dämlich ...
The Hidden Boot Code of the Xbox
In The Hidden Boot Code of the Xbox schreiben die X-Box-Linux-Programmierer wie der Sicherheitscode der X-Box aufgebaut ist und wie Microsoft in 512 Byte Code gleich 3 Fehler eingebaut hat. Lots of kindergarten security mistakes. - wie Bruce Schneier es nennt.
Schön ist auch das Fazit des Artikels:
So with the first version of the MCPX, Microsoft was too naive and apparently did not understand basic security concepts. After they had learnt their lesson, they designed a pretty good system with the second version of the MCPX - but the implementation still contained at least three security holes (Visor, MIST, TEA). They were too fast releasing a new version of the MCPX, spending a lot of money in trashing tons of already manufactured MCPX chips and manufacturing updated ones, apparently without any further code audit which should have revealed the security holes.
512 bytes is a very small amount of code (it fits on a single sheet of paper!), compared to the megabytes of code contained in software like Windows, Internet Explorer or Internet Information Server. Three bugs within these 512 bytes compromised the security completely - a bunch of hackers found them within days after first looking at the code. Why hasn't Microsoft Corp. been able to do the same? Why?
Genau. Wieso kriegt Microsoft sowas nicht hin? Wieso fällt gerade Microsoft immer wieder bei Security dermaßen auf die Schnauze? Und kommt mir jetzt nicht mit der albernen Ausrede das die Bugs bei Microsoft nur deshalb so schnell gefunden werden weil das so viele User benutzen - das sind hier banalste Grundlagenkenntnisse die erforderlich wären. Das ist einfach nur schlampig.
Und nun, Herr McBride?
Shit hits Fan für SCO:
A: There was a release of SCO LinuxWare release 7.1.2 that included the Linux kernel personality and SCO Linux-release 7.1.3 included the Linux kernel personality. At first when it first shipped it did include the Linux kernel packages which were subsequently removed.
Find ich schon irgendwie passend, wenn SCO erwischt wird das es selber den Linux-Kernel - der ja immerhin unter GPL steht - in ihren Produkten zumindestens zeitweilig benutzt und mit ihnen ausgeliefert haben. Könnte mit ein Grund sein, warum sie jetzt versuchen die GPL als unamerikanisch und nicht verfassungskonform zu denunzieren
Man reiche Darl McBride die Frog Pills
denn jetzt dreht er völlig ab:
Im Einzelnen zählt McBride zehn Punkte auf, die für SCO und gegen Linux sprechen. So sei der OpenServer wesentlich preiswerter als Linux-Systeme, die mit versteckten Jahreslizenzen arbeiten, habe einen überlegenen Kernel und biete wesentlich höhere Sicherheit als Linux-Systeme, bei denen Sicherheitslücken wochenlang offen bleiben würden. Mehrfach betont McBride, dass seine Firma Eigentümer von Unix ist und aus diesem Grunde höheres Vertrauen bei der Kundschaft besitze. Außerdem sorge SCO als Eigentümer dafür, dass es keine Absplitterungen inkompatibler Systemvarianten gebe.
Selten einen so kompakten Block von Bullshit gesehen