Alex' blog (Artikel mit Tag web)

T-Home Programm Manager

nospam@example.com (Alex) — Wed, 25 Jun 2008 23:00:25 +0200

Nachdem jetzt irgendwie jeder Computer-"Nachrichtendienst" über den T-Home Programm Manager schreibt, muss ich auch mal etwas dazu loswerden: ihr seid viel zu spät dran !

Den Programm Manager gab es schon seit meinem ersten Versuch das (neue) Entertain Comfort Plus Paket zu bestellen. Also mindestens schon seit Mitte April.

Woher die ganzen Meldungen dann plötzlich kommen, kann man nur vermuten. Vielleicht weil der Programm Manager jetzt auf www.t-home.de in der Flash-Werbung angepriesen wird ? Und wahrscheinlich schreibt der eine mal wieder vom anderen ab.

Der angepriesene Programm Manager ist eine Web-Applikation, die auf den Servern von T-Home gehostet ist. Die heimischen Festplatten-Receiver melden sich dann dort automatisch an und bekommen von dort so ihre neuen Aufnahmen mitgeteilt, welche man natürlich von überall auf der Welt programmieren kann. Dies ist für Leute, die keine Ahnung von Port-Weiterleitung u.ä. haben, natürlich einfacher als wenn ein Webserver auf dem Festplatten-Receiver direkt läuft wie z.B. yWeb auf der d-box 2. (Mal abgesehen davon, dass der Festplatten-Receiver keine statische IP-Adresse hat.)

Wer den Programm Manager nicht in seinem aktuellen Tarif drin hat und auch nicht wechseln möchte, der kann sich den Programm Manger für recht teuere 4,99 EUR pro Monat dazubuchen.
(Fernsehen muss einem ja schon echt wichtig sein, wenn man so etwas braucht ...)

Wie schokokeks-Kunden ihren AVM-Router für DynDNS benutzen können

nospam@example.com (Alex) — Thu, 19 Jun 2008 12:23:19 +0200

Vielleicht ist meine Lösung nicht die Einzige, aber sie funktioniert und fiel mir spontan ein. Und zwar geht es darum, dass (bislang) die IP-Adresse einer Subdomain per schokokeks eigenem DynDNS-Dienst nur über die im Wiki beschriebenen Möglichkeiten aktualisiert werden kann, was wiederum den DynDNS-Client einer Fritz!Box von AVM aussperrt - zumindest den der Fritz!Box Fon WLAN 7050. (Vielleicht hat sich mit neueren Routern von AVM ja etwas geändert.)

Wer seinen Router nicht gemoddet hat, bleibt folgende Lösung, um seinem Router trotzdem die Arbeit machen zu lassen.

Telnet auf der Fritz!Box per Telefon aktivieren: #96*7*
Mittels Telnet auf dem Router einloggen und folgendes Skript erstellen:

cat >> /var/dyndns.sh << EOF
#!/bin/sh
while true; do
wget -q http://benutzername:passwort@dyndns-subdomain.domain.tld/
sleep 300
done
EOF

Skript ausführbar machen: chmod 700 /var/dyndns.sh
Skript starten und anschließend Telnet-Verbindung beenden. (Skript bleibt aktiv bis zum nächsten Reboot, kein nohup nötig.)

HTTPS funktioniert leider mit der limitierten Version von wget (Busybox) nicht. Den Timer von fünf Minuten (sleep 300) kann man natürlich nach eigenem Belieben verändern. Der Router wird auch vom Antwortverhalten nicht merklich langsamer.
Die erstellte Datei wird mit einem Neustart des Routers allerdings wieder gelöscht und ist somit keine permanente Änderung. Aber Neustarts des Routers kommen ja eigentlich nicht vor.
Die von wget erstellte Webseite wird bei jedem Aufruf überschrieben und schreibt somit /var nicht voll.
Vielleicht kann diese Information ja der ein oder andere schokokeks-Kunde gebrauchen (und ich brauche nicht noch einmal nachdenken, wenn doch mal ein Neustart notwendig sein sollte. )

Firefox 3 ist fertig

nospam@example.com (Alex) — Wed, 18 Jun 2008 16:05:00 +0200

Firefox 3 ist nun fertig und daher habe ich das u.a. zum Anlass genommen, um meinen RC 2 auf die finale Version upzudaten.

Da ich heute früh endlich Windows Vista auf dem Acer Aspire 7520G entfernt habe und nun Windows XP (für knapp 67 EUR) auf dem Laptop seine Arbeit anstandslos verrichtet, habe ich mich gleich an die Installation von Firefox 3 gemacht. Gut, dass auf dem schnelleren Laptop der langsame Firefox nicht so sehr auffällt. Evtl. ist das vor ein paar Tagen beschriebene Problem gar nicht existent ...

Daher habe ich zweimal beim Download Day mitgemacht und spaßeshalber habe ich mir auch ein "Zertifikat" dafür ausgestellt.

Wer beim Download Day und dem damit verbundenen Eintrag ins Guinness Buch der Rekorde mitmachen will, der hat nach MESZ noch bis heute 19:00 Uhr Zeit dazu.

Nachdem bei mir aber vieles nicht mehr anständig funktioniert, seitdem ich den Firefox 3 mit einer der verfügbaren Beta-Versionen installiert habe, muss ich wohl oder übel ein neues Profil erstellen und sämtliche Werte, die ich von Hand angepasst habe, erneut anpassen. ~~Das wird wieder viel Arbeit ...~~

Update: Oder auch kaum Arbeit, wenn man die Datei prefs.js zur Hilfe nimmt.

HTTP Auth Probleme mit Mozilla Firefox 3 Beta 5

nospam@example.com (Alex) — Mon, 21 Apr 2008 10:59:00 +0200

Seitdem ich etwas an der neusten Firefox-Version aus der Zweier-Reihe verzweifelt bin, habe ich den Schritt zur neusten Beta-Version der Dreier-Reihe gewagt. Leider hat es an meinem Problem nicht wirklich etwas verbessert (Änderung an Dateityp => Aktion).

Dafür hat mir die neue Version gleich ein neues Problem beschert: wenn man ein Bookmark zu einer Webseite anlegt, die vor dem eigentlichen Abruf erst mittels HTTP Auth Logindaten bearbeitet werden muss, und diese in der Form:

https://benutzername:passwort@example.com/pfad

eingibt, so funktioniert dies in der neusten Beta leider nicht mehr automatisch. Jetzt muss man sie wieder händisch eingeben. (Vielleicht betrifft dies neuerdings auch nur SSL-verschlüsselte Verbindungen. Unverschlüsselte habe ich nicht getestet.)
Hoffentlich bleibt diese Einschränkung nur bis zur Final. Es war doch recht bequem.
(Ja, auch unsicher, solange man keine anderen Vorkehrungen trifft.)

Leider ist dies bei HTTP/HTTPS auch nicht über ein RFC standardisiert, sondern nur bei FTP. Trotzdem machen es alle Webbrowser, die mir so einfallen, dennoch richtig.

Entertain Comfort Plus

nospam@example.com (Alex) — Mon, 21 Apr 2008 10:13:00 +0200

Wenn Frauen fernsehen wollen ... tja, wie das sonst endet, weiß ich ja nicht, aber hier zieht deswegen nun IPTV ein.

Eigentlich hätte man die bereits vorhandene d-box 2 auch einfach wieder mit einem Premiere-Abo ausstatten können, aber da selbst der Studententarif teurer kommt als der 10 EUR Aufpreis zu IPTV (okay, ganz korrekt ist das ja nicht - bei Premiere hätte man wesentlich mehr (andere) Programme).

Damit ist der Sparvorteil von der letzten Vertragsumstellung wieder aufgehoben , aber man bekommt ja auch etwas dafür.
Da die IPTV-Box der T-Com, ein X 301T, ganze Null EUR gekostet hat, kann man es ja tatsächlich einmal ausprobieren. U.a. unterstützt die Box Time-Shifting und hat eine 160 GB große Festplatte eingebaut. Es sind wohl auch jeweils zwei DVB-T Tuner und USB-Ports integriert, aber diese scheinen bislang noch nicht aktiv zu sein.
Da die Box auch einen HDMI-Anschluss hat und man auch Filme in HD-Qualität anschauen kann (nur in Verbindung mit VDSL), ist es eigentlich klar, dass die Festplatte in irgendeiner Form verschlüsselt sein wird und es sicherlich keine Backup-Funktion auf externe Datenträger (per Netzwerk oder USB) geben wird.

Ein passendes neues Spielzeug also.

Update: Also bei der Telekom geht es sicher ganz lustig zu. Ein späterer Arbeitsplatz dort, ist sicherlich für Spaß und Heiterkeit nicht verkehrt.
Unser gebuchtes Entertain Comfort Plus Paket wurde stillschweigend storniert.
Warum ? Ein dreiwöchige Systemumstellung sei schuld. In dieser Zeit werden keine Aufträge verarbeitet. Dafür werden aber wohl eingehende Aufträge in dieser Zeit irgendwann storniert. Storno-Schreiben scheinen aber auch keine verschickt zu werden.
Finde ich persönlich sehr unprofessionell über mehrere Bereiche hinweg.

Nachdem ich mich also bis zur Techniker-Hotline habe durchverbinden lassen (sowas ist immer ganz hilfreich), bin ich nun schlauer. Damit sind wir also auch nicht die Einzigen, die davon betroffen sind. Habe das Paket also nun erneut bestellt.
Hardware gibt es wohl außer der IPTV-Box auch noch dazu: Router + Splitter - umsonst versteht sich. Habe ich also wieder etwas zum Verkaufen.
Einzig und allein die für Null Euro Zuzahlung erhandelte IPTV-Box macht jetzt noch Probleme, da man dies uns von der Hotline aus nicht zusichern darf. Dafür habe ich dann den Namen des netten Kollegen aus dem T-Punkt (heißt wohl jetzt T-Shop) in Mannheim hinterlegen lassen. Wenn die Box plötzlich doch noch abgerechnet werden sollte, so darf mir der Herr aus Mannheim eine entsprechende Gutschrift anfertigen.

Buch: Agile Web Development with Rails in neuer Auflage

nospam@example.com (Alex) — Sun, 20 Apr 2008 10:45:00 +0200

Um Ruby on Rails wollte ich mich auch schon mal länger kümmern. Da das allerseits sehr empfohlene Buch mit dem Titel "Agile Web Development with Rails" aber nur für Ruby < 2.x noch "brauchbar" ist, habe ich meinen Einstieg in Ruby on Rails schon öfters verschoben, da dies Buch schon passend sein sollte.

Nachdem ich jetzt dann schon leider zu PHP greifen musste, habe ich bei einem der Autoren des oben genannten Buches einmal nachgefragt, wie es mit einer neuen Auflage - passend zu RoR 2.x - aussieht.

Also eine neue Auflage ist relativ sicher. Aber bis jetzt gibt es keinen Termine dazu. Ich interpretiere das mal so: noch hat keiner mit der Überarbeitung angefangen.

Kann mir vielleicht sonst jemand ein gutes RoR-Buch empfehlen, was bereits RoR 2.x abdeckt und sonst nicht allzu miserabel geschrieben ist ? Vorschläge sind jederzeit willkommen.

Spamflut und Internal Server Error 500

nospam@example.com (Alex) — Sun, 20 Apr 2008 08:54:00 +0200

Vielleicht hat der ein oder andere Besucher gestern bzw. heute einen "Internal Server Error 500" auf meiner Webseite gesehen. Wie man sieht, ist dies jetzt wieder behoben.

Es hat aber einen kleinen Moment gedauert bis mir klar wurde, was auf einmal los ist.

Zuerst habe ich die Schuld schon auf irgendeine Änderung am Server geschoben gehabt. Es liegt aber nicht am Server, sondern an der Web-Applikation, obwohl daran niemand etwas verändert hat seit den letzten Tagen. Schlussendlich ist aber der Spam eigentlich schuld.

Was war passiert ?
Ich hatte zur Spambekämpfung bislang immer eine 24 Stunden andauernde IP-Sperre in der htaccess-Konfigurationsdatei drin, die von vom Weblog selbständig aktualisiert wird.

Eine neue Spamflut scheint nun aber herangerollt zu sein, die zur Folge hatte, dass in der Konfigurationsdatei nun hunderte von IPs für den Zugriff auf die Webseite gesperrt wurden. Irgendwann hat aber auch der Apache die Schnauze von solchen Komma-separierten IP-Adressen voll und erklärt die Konfigurationsdatei für ungültig, was letztendlich in einem "Internal Server Error 500" geendet hat.

Abhilfe: IP-Sperre deaktiviert und "Deny from"-Zeile gelöscht.

Da stellt sich mir aber noch folgende Frage: wie sieht es überhaupt mit der Speicherung von IP-Adressen zur Spambekämpfung aus ?
Das "Niederschreiben" der IP-Adresse in Logs ist ja nicht mehr erlaubt oder das Verbot befindet sich gerade in der Mache - AFAIK.

Kommentare zu dieser Thematik sind erwünscht !

VDSL mit 25 und 50 Mbit/s verfügbar

nospam@example.com (Alex) — Sun, 20 Apr 2008 07:43:00 +0200

Eigentlich wollte ich es ja gar nicht glauben, aber hier ist doch tatsächlich schon VDSL verfügbar. Ich dachte eigentlich bislang, dass VDSL vorerst nur in den größeren Städten Einzug erhalten wird.

Jetzt kann ich hier zwischen VDSL mit 25 Mbit/s und 50 Mbit/s wählen. Vom aktuellen Tarif (Entertain Comfort Plus - ja wir haben aufgerüstet vor ein paar Tagen) kostet der Aufpreis zu VDSL-25 monatlich 10 EUR. Zu VDSL-50 monatlich 15 EUR.

Aber VDSL brauchen wir nicht.
Außerdem müsste sonst noch ein neues DSL-Modem her, was VDSL unterstützt. Die Fritz!Box Fon WLAN 7270 beherrscht VDSL ja bereits hardwareseitig, aber softwareseitig noch immer nicht. (Eigentlich ist das recht seltsam, da AVM die Speedports für die T-Com herstellt und die neuen Router der T-Com können natürlich VDSL. AVM kümmert sich hier sicherlich auch um die Firmware.)
Auch läuft dieser Router ja noch überhaupt nicht brauchbar, wie man so hören kann. Schade drum, denn dieses Gerät würde mich sonst sehr interessieren - auch ohne VDSL. Aber wenn man sich schon einen neuen Router mit massig interessanten Features anschaffen will, dann sollte er auch definitiv für VDSL geeignet sein.

Firefox 3.0 und CAcert-Probleme

nospam@example.com (Alex) — Sat, 22 Mar 2008 22:10:00 +0100

Ich habe mir vor einigen Tagen die neuste Vorab-Version von Firefox 3.0 angeschaut. Die Neuerung "ausführliche Zertifikatsfehlermeldungen" ist immer noch enthalten.

Das gibt, wie ich hier schon einmal erwähnt hatte, auf jeden Fall Probleme für Betreiber von Webseiten mittels CAcert-Zertifikat (oder einem self-signed Zertifikat).

Da der Nutzer nicht mehr zur Interaktion gezwungen wird, wie eins mit dem Dialogfeld, dessen Voreinstellung das temporäre Erlauben der Webseite gewesen wäre, werden sicherlich viele Nutzer die Webseite verlassen, bevor sie sie richtig aufgesucht haben.

Da CAcert als CA auch im Firefox 3.0 noch nicht dabei sein wird (abgesehen von einigen Linux-Distributionen, die CAcert als CA gleich dazupacken), werden meiner Ansicht nach viele Nutzer aus Sicht des Betreibers einer Webseite ausgesperrt werden. Andererseits ist es eine ausführliche Warnung natürlich besser für die Sicherheit.

Wenn ein Nutzer nun das Zertifikat akzeptieren will (egal ob temporär oder permanent), so durchläuft er folgende Screenshot-Abfolge:

Schritt 1:

Schritt 2:

Schritt 3:

Schritt 4:

Anzahl nötiger Klicks bei permanenter Annahme des Zertifikats: 4
Anzahl nötiger Klicks bei temporärer Annahme des Zertifikats: 5

Zudem hat sich die Voreinstellung für die Annahme des Zertifikats unbekannter CAs geändert: die neue Voreinstellung ist "permanent". Nicht mehr "temporär".

Schwabenland

nospam@example.com (Alex) — Sun, 03 Feb 2008 06:08:33 +0100

Nur für gebürtige Schwaben: ein paar spezielle Web-Buttons (80 x 15 Pixel). (Ja, mir war langweilig.)

Was kommt nach JavaScript & Flash ? UPnP !

nospam@example.com (Alex) — Tue, 15 Jan 2008 14:42:00 +0100

Seit heute ist es auch beim Verlag Heise zu lesen: Ungewollte Fernkonfiguration für Heim-Router.

Das UPnP schon immer gefährlich war, ist nichts neues. Eigentlich wird UPnP hauptsächlich für das Setzen von Port-Forwardings im Router, initiert durch Anwendungen im LAN, benutzt. Daher war Universal PnP auch schon immer so gefährlich, da sich bereits im LAN befindliche Malware ebenfalls UPnP bedienen kann, um Port-Forwardings im Router einzurichten. Somit wäre es dann möglich auf Dienste, die sonst vom WAN aus nicht erreichbar wären, problemlos zugreifen zu können.

Doch nun kommt das Ganze etwas ~~anders~~ schlimmer: Während man früher noch CSRF/XSRF-Attacken in Verbindung mit einem bereits in den Router eingeloggten Benutzer brauchte, um z.B. den vom Provider zugeteilten DNS-Server zu verändern, um (z.B.) gepflegter Phishing betreiben zu können, ist dies jetzt nicht mehr notwendig, da UPnP über keinerlei Authentifizierungsmassnahmen verfügt und leider zu wesentlich mehr fähig ist als nur Port-Forwardings setzen zu können, was ich leider auch erst lernen musste. Wikipedia ist hier leider nicht vollständig.

Bislang konnte sich Malware im LAN ebenfalls dieser "erweiterten" Features von UPnP bedienen, aber dank der Arbeit von pdp und ap braucht es jetzt quasi nicht mehr als einen Webbrowser und eine entsprechend präparierte Webseite für einen solchen Angriff von außen.

Daher macht man es mir am besten nach. UPnP komplett deaktivieren - und nicht nur im Router, sondern auch am besten in allen anderen UPnP-fähigen Geräte, sofern weitere vorhanden sind. (Unser Router hat direkt an seinem ersten Arbeitstag UPnP deaktiviert bekommen.)

Weil die beiden bereits genug ausführliche Artikel zu dem Thema geschrieben haben, verweise ich hier auf die entsprechenden Seiten:

IP Nachbarschaft

nospam@example.com (Alex) — Fri, 11 Jan 2008 15:30:00 +0100

Alles erwähnte von Stefan Schlott auf dem gestrigen "Web Security"-Vortrag des CCC Stuttgart ist mir bereits bekannt gewesen bis auf eine kleine Tatsache: My IP Neighbors.

Ein willkommenes Tool für den Penetration Tester.

Sparkasse: Versteckte Daten beim Online-Banking

nospam@example.com (Alex) — Mon, 07 Jan 2008 22:10:00 +0100

Bislang benutze ich kein Online-Banking, aber ich war heute trotzdem in der Lage einmal einen Blick in das Sparkassen-typische Online-Banking mittels PIN & TAN werfen zu können.

Auf der Webseite zum Ausfüllen einer Überweisung gibt es versteckte Input-Tags im HTML-Quellcode. U.a. gibt es auch ein Feld mit der Kontonummer des Auftraggebers. Hinter diesem Feld steht die Kontonummer (samt Name) allerdings nochmals als Text auf der Webseite.

Wozu dann noch ein Input-Tag mit dem Wert der Auftraggeber-Kontonummer ? Natürlich kann die Wahl des Software-Designs dies erfordern. Eigentlich ist es aber dann keine gute Wahl des Designs.
Jedenfalls hinterlässt diese Erkenntnis einen unschönen Nachgeschmack. Schließlich lässt sich die Kontonummer problemlos abändern, so dass bei einer fehlenden Prüfung u.U. die Abbuchung von einem anderen Konto als dem eigenen vorgenommen wird.
Ich hoffe nicht, dass hier tatsächlich so ein Fehler existiert. Solange ich keine Erlaubnis seitens der Sparkasse bekomme, werde ich allerdings auch nichts ausprobieren.

XSS-Bug in Serendipity

nospam@example.com (Alex) — Wed, 02 Jan 2008 19:21:00 +0100

In Serendipity existiert eine Schwachstelle, die sich für XSS-Angriffe nutzen lässt.

Ganz so dramatisch, wie dies jetzt klingt, ist sie allerdings nicht und dürfte wahrscheinlich auch nur wenige Serendipity-User betreffen, da hier auf mehrere Autoren im System gesetzt wird von denen mindestens ein Autor böswillige Absichten hat.
Die Schwachstelle resultiert aus einer fehlenden Bereinigung der Titel-Zeile eines entsprechend präparierten Eintrags, wenn darauf mit einem (un)moderierten Kommentar geantwortet wurde.

Da in Serendipity generell HTML- und auch JavaScript-Code erlaubt ist, ist dies eigentlich keinen Blog-Eintrag wert, da dies by design erlaubt ist und somit als Feature und nicht als Bug verstanden werden soll.

Wer aber zusammen mit anderen Autoren in einem Blog Einträge verfasst (egal ob in diesem Blog zur Sicherheit das Event-Plugin "XSSTrust" eingesetzt wird oder nicht), kann auf diese Weise an gültige Cookies anderer Autoren oder gar des Administrators gelangen.

Ein böswilliger Autor erstellt einen neuen Eintrag mit bspw. dem folgenden Titel:

<script>alert(document.cookie)</script>

Wenn dieser Autor danach einen Kommentar zu seinem Eintrag verfasst und später ein anderer Autor oder gar ein Administrator auf die "Kommentare"-Seite in der Serendipity-Verwaltungsoberfläche geht, so wird dessen Cookie in einer Dialogbox des Webbrowsers angezeigt. (Natürlich ließe sich der Cookie auch an der Angreifer hinschicken o.ä. ...)

Wer auf das XSSTrust-Plugin setzt, ist aber auch nicht auf der sicheren Seite. Nur wenn der böse Autor seinen Code in den Eintrag direkt schreibt und vorher vom Administrator blackgelistet wurde passiert nichts ungewolltes. Anderenfalls wird der Code aus dem Titel auf der Kommentar-Seite trotzdem ausgeführt !

Um den Angriff etwas zu verschleiern, könnte ein böswilliger Autor den Titel seines Eintrags auch wie folgt wählen:

Foobar<script>alert(document.cookie)</script>

und den Eintrag auf ein Datum in der Vergangenheit setzen, so dass dieser Eintrag nicht mehr auf der "Einträge bearbeiten"-Seite direkt erscheint und ebenfalls nicht auf der Blog-Startseite, da hier HTML-Entities verwendet werden. Auf der "Kommentare"-Seite erscheint jetzt der Text Foobar als Titel und bleibt nicht einfach mehr leer, was weniger verräterisch ist.

Ich habe mich über dieses Problem mit Garvin Hicking unterhalten und er hat diesen Bug auch gleich im Repository von Serendipity behoben.