Dienstag, 11. Oktober 2005
Und noch eine Linux-Migration
Webworking
Di, 11 Okt 2005 17:33:37 +0200
golem.de: Mannheim migriert auf Linux
(Wobei ich es etwas Zweifel hab, ob hier wirklich nur Kinderunix zum Einsatz kommt oder nicht auch bei den wichtigen Servern ein richtiges Unix.)
(Wobei ich es etwas Zweifel hab, ob hier wirklich nur Kinderunix zum Einsatz kommt oder nicht auch bei den wichtigen Servern ein richtiges Unix.)
... link
Dienstag, 4. Oktober 2005
Mithilfe gesucht: Deutsche Creative Commons Seite
Webworking
Di, 4 Okt 2005 16:57:17 +0200
Die deutsche Version der Creative Commons Seite benötigt mehr oder minder dringend eine Anpassung.
Die Kollegen von Netzpolitik haben sich der Sache offenbar angenommen und bitten um Mithilfe:
Projektwiki Deutsche Creative Commons
Blogeintrag auf netzpolitik.de: Mithilfe gesucht: Deutsche Creative Commons Seite überarbeiten
Bitte weitersagen - aber noch besser: Bitte mithelfen!
Die Kollegen von Netzpolitik haben sich der Sache offenbar angenommen und bitten um Mithilfe:
Projektwiki Deutsche Creative Commons
Blogeintrag auf netzpolitik.de: Mithilfe gesucht: Deutsche Creative Commons Seite überarbeiten
Bitte weitersagen - aber noch besser: Bitte mithelfen!
... link
Dienstag, 27. September 2005
Gewissen vs Security
Webworking
Di, 27 Sep 2005 19:21:06 +0200
Zum Testen von diversen Sicherheitsproblemen von PHP-Scripts hab ich mir ein PHP Include Intrusion Script aus dem Netz gezogen.
Da dieses jedoch leider etwas laienhaft nur für Linux-Rechner gemacht war und auch noch kein Register-Globals kannte, funktionierte es nicht.
Also hab ich es korrigiert.
Jetzt hätte ich also eine neue Version dieses Scanners, mit dessen Hilfe sich Kiddies leicht Zugang zu Webservern holen könnten und weiß nicht was tun:
Veröffentlichen oder versteckt halten?
Ausserdem könnte es mich reizen, das Skript noch etwas zu verfeinern. Hm...
Da dieses jedoch leider etwas laienhaft nur für Linux-Rechner gemacht war und auch noch kein Register-Globals kannte, funktionierte es nicht.
Also hab ich es korrigiert.
Jetzt hätte ich also eine neue Version dieses Scanners, mit dessen Hilfe sich Kiddies leicht Zugang zu Webservern holen könnten und weiß nicht was tun:
Veröffentlichen oder versteckt halten?
Ausserdem könnte es mich reizen, das Skript noch etwas zu verfeinern. Hm...
... link
Montag, 26. September 2005
Stilblüten der HIWIs
Webworking
Mo, 26 Sep 2005 12:55:29 +0200
Gerade hab ein Shellskript einer meiner ehemaligen Hiwis beim Update einer Software wiedergefunden.
Das Skript sollte damals (bevor es apt-get und so nette Features gab) ein paar Kontrollfiles anlegen.
Funktionierte auch ganz nett.
Aber im Perlcode steht da für den Fehlerfall dann doch etwas possierliches:
Ob das irgendwann am Ende einer frustrierenden Nacht, so zwischen 2 und 4 Uhr gemacht wurde?
Das Skript sollte damals (bevor es apt-get und so nette Features gab) ein paar Kontrollfiles anlegen.
Funktionierte auch ganz nett.
Aber im Perlcode steht da für den Fehlerfall dann doch etwas possierliches:
..
open OUT,">${workpath}uni.conf" or die "Verdammte Scheisse!";
...
Ob das irgendwann am Ende einer frustrierenden Nacht, so zwischen 2 und 4 Uhr gemacht wurde?
... link
Mit Typo3 in Bagdad
Webworking
Mo, 26 Sep 2005 11:53:09 +0200
Der Siegeszug von Typo3 bewegt sich weiter:
ORF.at:
Open Source im Außenhandel
Was mich aber nicht von meiner Kritik bzgl. der mangelhaften Performance und der Unflexbilität gegenüber große (= über 1000 Seiten mit verschiedenen Online-Diensten) Websites von Typo3 abhält.
Aber für normale Sites über 100 Seiten ist Typo3 sicherlich eine gute Wahl.
ORF.at:
Open Source im Außenhandel
In der abgelaufenen Woche ist mit Baghdad die letzte der 70 österreichischen Außenhandelsstellen ans Netz gegangen. Das Content Management System für 70 Außenhandelsstellen in 53 Länder und 29 Sprachen heisst Typo3.
Was mich aber nicht von meiner Kritik bzgl. der mangelhaften Performance und der Unflexbilität gegenüber große (= über 1000 Seiten mit verschiedenen Online-Diensten) Websites von Typo3 abhält.
Aber für normale Sites über 100 Seiten ist Typo3 sicherlich eine gute Wahl.
... link
Dienstag, 20. September 2005
Nachdenkliches über Webstandards
Webworking
Di, 20 Sep 2005 10:50:12 +0200
Schon am 16.9. geschrieben, aber erst heute entdeckt.
Jens Grochtdreis schreib einen lesenswerten Artikel über die Probleme bei der Einführung und EInhaltung von Webstandards:
Nachdenkliches über Webstandards
Den Fazit kann ich leider bestätigen:
Gerade in letzter Zeit musste ich selbst erleben, wie dies vonstatten geht und sehe es daher noch kritischer als Jens.
Es ist nicht nur so daß die Firmen es nicht sagen weil sie Angst um den Auftrag haben, sondern auch weil sie selbst nichtmal willens sind es von sich aus zu machen.
Wenn der Spruch kommt, daß der Kunde valide Seiten nicht gewollt hat und der Kunde auch nicht gewollt hat das man alle CSS-Anweisungen in einer CSS-Datei tut anstelle in Inline-Styles, dann muss man sich fragen, ob da überhaupt jemals gute Qualität kommen kann.
Seriöse Firmen die für Qualität eintreten liefern heutzutage nur noch valide und mindestens BITV Prio1-Seiten.
Das Argument, daß das (W)CMS ja möglicherweise Probleme hat, ist kein Argument, sondern ist nur ein Armutszeugnis für ein (W)CMS, welches mies programmiert sein muss. Jedes (W)CMS welches wirklich die Trennung von Inhalt und Design vollzieht muss mit Templates arbeiten und daher alle Ausgabe-Tags kontrollieren können.
Wenn nun jemand sagt, daß geht nicht, dann wurde bei der Entwicklung des (W)CMS arg Mist gebaut, indem HTML-Tags wahrscheinlich im Code reincompiliert wurde.
Ein anderes Problem, was ich sehe, was Jens nur mager anspricht: Natürlich muss man die Leute überzeugen. Aber die Frage ist doch, wie kommt man erst dazu?!
Die Kunden kommen nicht auf einen zu, sondern werden -wenn sie sich nicht auskennen- die ihnen bekannten Wege zur Suche von Firmen nutzen.
Das geht dann z.B. über Ausschreibungen oder Veranstaltungen.
Diese Masche gilt es aufzulösen. Bei den Auftraggebern muss das Bewusstsein dafür geschaffen werden, daß nicht immer nur solche Firmen gut sind, die mit einer Horde an Marketingleuten aufkreuzen können.
Im Gegenteil muss gesagt werden. Wer über Ausschreibungen sucht, der muss viel bezahlen: Es gilt nämlich die Person zu bezahlen, die die Anzeige ließt, dann einen Marketingmenschen, der sie analysiert und sich mit den potentiellen Kunden in Kontakt setzen und dann irgendwann vielleicht mal einen Entwickler.
Auf der anderen Seite kann dies natürlich nicht bedeuten, daß nun jeder Einzelkämpfer gleich als Profi zu werden gilt, der alleine für professionelle Ergebnisse sorgt.
Auch hier muss dem Kunden was gegeben werden, mit dem er es testen kann.
Jens hat da vollkommen recht: Ein Dilemma ist vorhanden. Doch meines Erachtens ist es noch viel größer als er es schrieb.
Jens Grochtdreis schreib einen lesenswerten Artikel über die Probleme bei der Einführung und EInhaltung von Webstandards:
Nachdenkliches über Webstandards
Den Fazit kann ich leider bestätigen:
Wenn ein Kunde in einer Agentur nach einer barrierefreien Seite fragt, wird keine Agentur sagen, sie könne das nicht und wisse nicht, wie das geht. Selbst wenn dies in 95 Prozent aller Fälle der Wahrheit entsprechen dürfte, niemand wird es sagen. Der Kunde hat aber noch viel weniger Ahnung von der Materie, also kommt Mist am Ende heraus. Dieses Dilemma gilt es aufzulösen.
Gerade in letzter Zeit musste ich selbst erleben, wie dies vonstatten geht und sehe es daher noch kritischer als Jens.
Es ist nicht nur so daß die Firmen es nicht sagen weil sie Angst um den Auftrag haben, sondern auch weil sie selbst nichtmal willens sind es von sich aus zu machen.
Wenn der Spruch kommt, daß der Kunde valide Seiten nicht gewollt hat und der Kunde auch nicht gewollt hat das man alle CSS-Anweisungen in einer CSS-Datei tut anstelle in Inline-Styles, dann muss man sich fragen, ob da überhaupt jemals gute Qualität kommen kann.
Seriöse Firmen die für Qualität eintreten liefern heutzutage nur noch valide und mindestens BITV Prio1-Seiten.
Das Argument, daß das (W)CMS ja möglicherweise Probleme hat, ist kein Argument, sondern ist nur ein Armutszeugnis für ein (W)CMS, welches mies programmiert sein muss. Jedes (W)CMS welches wirklich die Trennung von Inhalt und Design vollzieht muss mit Templates arbeiten und daher alle Ausgabe-Tags kontrollieren können.
Wenn nun jemand sagt, daß geht nicht, dann wurde bei der Entwicklung des (W)CMS arg Mist gebaut, indem HTML-Tags wahrscheinlich im Code reincompiliert wurde.
Ein anderes Problem, was ich sehe, was Jens nur mager anspricht: Natürlich muss man die Leute überzeugen. Aber die Frage ist doch, wie kommt man erst dazu?!
Die Kunden kommen nicht auf einen zu, sondern werden -wenn sie sich nicht auskennen- die ihnen bekannten Wege zur Suche von Firmen nutzen.
Das geht dann z.B. über Ausschreibungen oder Veranstaltungen.
Diese Masche gilt es aufzulösen. Bei den Auftraggebern muss das Bewusstsein dafür geschaffen werden, daß nicht immer nur solche Firmen gut sind, die mit einer Horde an Marketingleuten aufkreuzen können.
Im Gegenteil muss gesagt werden. Wer über Ausschreibungen sucht, der muss viel bezahlen: Es gilt nämlich die Person zu bezahlen, die die Anzeige ließt, dann einen Marketingmenschen, der sie analysiert und sich mit den potentiellen Kunden in Kontakt setzen und dann irgendwann vielleicht mal einen Entwickler.
Auf der anderen Seite kann dies natürlich nicht bedeuten, daß nun jeder Einzelkämpfer gleich als Profi zu werden gilt, der alleine für professionelle Ergebnisse sorgt.
Auch hier muss dem Kunden was gegeben werden, mit dem er es testen kann.
Jens hat da vollkommen recht: Ein Dilemma ist vorhanden. Doch meines Erachtens ist es noch viel größer als er es schrieb.
... link
Den Bock zum Gärtner ernennen?
Webworking
Di, 20 Sep 2005 10:34:28 +0200
Oder wie muss man es interpretieren, wenn die Initiative D21 eine Veranstaltung über die Einhaltung und Verbreitung von Standards veranstaltet, aber selbst unfähig ist, ihre eigene Website standardgerecht zu machen?
Siehe:
D21: Workshop „Standards für integriertes eGovernment
Validator für selbige Seite: Failed validation, 397 errors
Siehe:
D21: Workshop „Standards für integriertes eGovernment
Validator für selbige Seite: Failed validation, 397 errors
... link
Samstag, 17. September 2005
Neue Version 2.07 von txtpl
Webworking
Sa, 17 Sep 2005 13:27:25 +0200
Ab sofort steht eine neue Version des Text Parsing Language-Parsers zum Download bereit :)
http://www.txtpl.de/download/
Feedback ist willkommen und erwünscht.
http://www.txtpl.de/download/
Feedback ist willkommen und erwünscht.
... link
Freitag, 16. September 2005
Umfragegrafiken endlich ohne Firmen-Werbung
Webworking
Fr, 16 Sep 2005 15:57:02 +0200
Der Linux-Verband hat erfolgreich eine einstweilige Verfügung durchgesetzt gegen den NDR durchgesetzt, nach der Umfrageergebnisse von Infratest nicht mit dem Logo von Microsoft veröffentlicht werden dürfen.
Herzlichen Glückwunsch.
Auch mich hat dies schon länger gestört.
Lesenswert ist meines Erachtens die Argumentation vom Verband.
IMHO ist dies auch ein Eigentor für die öffentlich-rechtlichen, da diese selbst erst diese Woche mit großen Getöse Maßnahmen gegen Schleichwerbung verkündeten.
Da sie dann trotzdem in Sachen Microsoft-Logo stur blieben, zeigt doch daß auch noch so tolle Regeln nichts wert sind, wenn man sie nur für andere gelten lassen will.
Mehr zum Lesen:
Netzpolitik: Wahlabend ohne Microsoft
Pressemitteilung des Linux-Verbands
Herzlichen Glückwunsch.
Auch mich hat dies schon länger gestört.
Lesenswert ist meines Erachtens die Argumentation vom Verband.
IMHO ist dies auch ein Eigentor für die öffentlich-rechtlichen, da diese selbst erst diese Woche mit großen Getöse Maßnahmen gegen Schleichwerbung verkündeten.
Da sie dann trotzdem in Sachen Microsoft-Logo stur blieben, zeigt doch daß auch noch so tolle Regeln nichts wert sind, wenn man sie nur für andere gelten lassen will.
Mehr zum Lesen:
Netzpolitik: Wahlabend ohne Microsoft
Pressemitteilung des Linux-Verbands
... link
Dienstag, 6. September 2005
Sicherheitslöcher in WebMail-Oberflächen
Webworking
Di, 6 Sep 2005 15:20:35 +0200
Gerade eben vollzog ich meinen zweiten Sicherheitstest für eine WebMail-Oberfläche innerhalb weniger Monate.
Die Oberflächen kommen von 2 verschiedenen Herrstellern, die auch in Konkurrenz zueinander stehen.
(Schutzzeiten und Absprachen verhinden, daß ich derzeit Details nennen kann, welche Software-Lösungen es sind und von welchen Firmen diese kommen.)
Bemerkenswert und traurig ist, jedoch, daß in beiden Fällen die Art der Sicherheitslöcher annäherend gleich sind:
Zwar werden richtig alle HTML-Anweisungen für
die syntaktisch korrekte Einbindung von JavaScript erkannt und durch Ersetzungen deaktiviert;
Leider ist es jedoch so, daß meist nur syntaktisch korrekte Anweisungengesucht und deaktiviert werden.
Syntaktisch falsche Anweisungen werden nicht gefunden.
Der Internet Explorer hat jedoch das vermeintliche Feature, daß es fehlerhaften HTML-Code zu reparieren versucht.
Konkretes Beispiel:
Eine HTML-Mail mit dem Inhalt
wird bei einem der WebMail-Oberflächen umgewandelt in
Somit passiert dann nichts.
Wenn der Code jedoch so aussieht:
Dann erkennen beide Oberflächen es nicht und das JavaScript wird vom IE, der dies dann netterweise korrigiert, ausgeführt. (Andere Browser machen diesen Unsinn nicht).
Eine automatsiche Umleitung auf eine fremde Site ohne zutun des Benutzers und überdies in einen durch den WebMailer selbst aufgepoppten Fenster ohne URL-Anzeige ist jedoch der ideale Ansatzpunkt für Phishing-Attacken:
Ein Hacker könnte die aktuelle Oberfläche auf seinem Server nachbilden und mittels JavaScript-Anweisungen (die er auf seinen Server dann nicht mehr einschränken lassen müsste) dann das echte parent-window deaktivieren. Der Benutzer würde dann aufgefordert werden, sich nochmal einzuloggen -vermeintlich vielleicht wegen einer zusätzlichen Sicherheitsabfrage oder so- und schon hätte man die Zugangsdaten.
Ebenfalls oft nicht erkennt wird eine syntaktisch fehlerhafte Anweisung der Form:
Was soll man als Fazit sagen?
Zwei Dinge:
Ein Entwickler einer WebMail-Oberfläche könnte sagen, daß es die Schuld des IE ist und er also nicht verantwortlich gemacht werden kann, wenn ein Browser den Code "seltsam" interpretiert.
Der Browserhersteller würde jedoch sagen, der Anbieter der Lösung ist schuld, ist doch der Browser weitverbreitet und es Sache des Portals oder der Oberfläche ist, dafür zu sorgen, daß keine unliebsamen Codes verbreitet werden.
Nun ja.
Schaun ma mal was wird.
Sobald ich darf, also die übliche Schonzeit nach der Herstellerbenachrichtigung abgelaufen ist und sobald eine englische Übersetzung meiner detailanalyse fertig ist, mach ich ggf. ein BugTraq-Eintrag.
Die Oberflächen kommen von 2 verschiedenen Herrstellern, die auch in Konkurrenz zueinander stehen.
(Schutzzeiten und Absprachen verhinden, daß ich derzeit Details nennen kann, welche Software-Lösungen es sind und von welchen Firmen diese kommen.)
Bemerkenswert und traurig ist, jedoch, daß in beiden Fällen die Art der Sicherheitslöcher annäherend gleich sind:
Zwar werden richtig alle HTML-Anweisungen für
die syntaktisch korrekte Einbindung von JavaScript erkannt und durch Ersetzungen deaktiviert;
Leider ist es jedoch so, daß meist nur syntaktisch korrekte Anweisungengesucht und deaktiviert werden.
Syntaktisch falsche Anweisungen werden nicht gefunden.
Der Internet Explorer hat jedoch das vermeintliche Feature, daß es fehlerhaften HTML-Code zu reparieren versucht.
Konkretes Beispiel:
Eine HTML-Mail mit dem Inhalt
<img src="javascript:document.location=""http://boese-phisching-domain"'>
wird bei einem der WebMail-Oberflächen umgewandelt in
<img src="java-SORRY:document.location="http://boese-phisching-domain"'>
Somit passiert dann nichts.
Wenn der Code jedoch so aussieht:
<img src="javas
cript:document.location="http://boese-phisching-domain"'>
Dann erkennen beide Oberflächen es nicht und das JavaScript wird vom IE, der dies dann netterweise korrigiert, ausgeführt. (Andere Browser machen diesen Unsinn nicht).
Eine automatsiche Umleitung auf eine fremde Site ohne zutun des Benutzers und überdies in einen durch den WebMailer selbst aufgepoppten Fenster ohne URL-Anzeige ist jedoch der ideale Ansatzpunkt für Phishing-Attacken:
Ein Hacker könnte die aktuelle Oberfläche auf seinem Server nachbilden und mittels JavaScript-Anweisungen (die er auf seinen Server dann nicht mehr einschränken lassen müsste) dann das echte parent-window deaktivieren. Der Benutzer würde dann aufgefordert werden, sich nochmal einzuloggen -vermeintlich vielleicht wegen einer zusätzlichen Sicherheitsabfrage oder so- und schon hätte man die Zugangsdaten.
Ebenfalls oft nicht erkennt wird eine syntaktisch fehlerhafte Anweisung der Form:
<sc ript> </scr ipt>Auch hier sorgt der nette IE dafür, daß der Code ausgeführt wird.
Was soll man als Fazit sagen?
Zwei Dinge:
- Das vermeintliche Feature des IE, fehlerhaften HTML-Code zu korrigieren, kann leicht durch Hacker ausgenutzt werden, um Code-Injections auf ansonsten geschützen Online-Diensten durchzuführen. Ohne das Feature würden diese Angriffe nicht funktionieren.
Es empfiehlt sich daher auch aus diesen Grund auf einen anderen Browser umzusteigen. - Viele Herrsteller von WebMail-Oberflächen, aber auch von anderen Online-Tools mit der Möglichkeit, Ausgaben als HTML bereitzustellen, testen oft nur auf syntaktische Korrektheit. Die üblichen Tricks mit den Einbau von Zeilenumbrüchen innerhalb von HTML-Anweisungen werden oft genauso übersehen wie die Ersetzung von Buchstaben durch Codes anderer Charsets.
Ein Entwickler einer WebMail-Oberfläche könnte sagen, daß es die Schuld des IE ist und er also nicht verantwortlich gemacht werden kann, wenn ein Browser den Code "seltsam" interpretiert.
Der Browserhersteller würde jedoch sagen, der Anbieter der Lösung ist schuld, ist doch der Browser weitverbreitet und es Sache des Portals oder der Oberfläche ist, dafür zu sorgen, daß keine unliebsamen Codes verbreitet werden.
Nun ja.
Schaun ma mal was wird.
Sobald ich darf, also die übliche Schonzeit nach der Herstellerbenachrichtigung abgelaufen ist und sobald eine englische Übersetzung meiner detailanalyse fertig ist, mach ich ggf. ein BugTraq-Eintrag.
... link
... nächste Seite
