Hanno's blog

I recently stepped upon some XSS issues in Serendipity.

The first is in the remoterss-plugin, which can be used to display the content of an RSS feed in the sidebar of a blog. It didn't escape links, so JavaScript-Code could be injected by malicious RSS feeds. This plugin is shipped with the base version of S9Y. They've released 1.2.1 this weekend which has the fix.
If you're using the remoterss plugin, you should upgrade to 1.2.1 as soon as possible. This issue is named CVE-2007-6205.

The other one is in the external mycalendar-plugin. It also allows unescaped content inside links. This wouldn't be a real issue, as this form should only be accessible by the blog administrator. But the form had no CSRF (Cross-Site-Request-Forgery) protection, so an attacker could trigger this form and thus inject javascript on the blog-page. This has been fixed within version 0.13 of the plugin, so if you're using it, please upgrade. CVE-2007-6390 now assigned.

Beside I'd like to note that I got fast replies to my reports and the s9y devs fixed them quite quickly. Thanks for that!

Da ich mich sowieso im Umkreis befand, beteiligte ich mich heute an der Demonstration gegen die Baustelle von europas größter CO2-Schleuder, dem Kohlekraftwerk Neurath.

Nachdem ich mich mal wieder darüber geärgert hatte, zwar auf einer von der Deutschen Bahn WLAN-fähig ausgestatteten Strecke zu fahren (Mannheim-Köln), aber nicht in einem der WLAN-fähigen Züge (das vergisst die Bahn in ihrer Werbung über den WLAN-Ausbau nämlich regelmäßig zu erwähnen, dass auch auf den ausgebauten ICE-Strecken nur ein Bruchteil der Züge tatsächlich WLAN verfügbar macht), fiel mir ein Netz auf, welches sich »Free Public WiFi« nannte und wohl offen war. Da aus dem fahrenden Zug aber wohl kaum Chancen auf eine Verbindung bestand, ignorierte ich es zunächst.

Nachdem das Netz aber ca. 10 Minuten später immer noch da war, musste es sich zweifelsohne mit mir im Zug befinden. Mir fiel auch auf, dass es sich um ein Ad-Hoc-Netz handelte, was die Vermutung nährte, dass es sich um einen anderen Laptop handelt. »Free Public WiFi« empfand ich nun als Einladung, mit diesem zu kommunizieren. Bedauerlicherweise schien es mir weder DHCP noch sonst irgendwelche sinnvollen Services bieten zu wollen. Lediglich eine IP lies sich ersniffen, die jedoch nur zwei offenen Ports hatte, die auf eine Windowsfreigabe hindeuteten - wodurch ich bemerkte, dass ich gerade kein Samba installiert hatte.

Ein Weilchen später waren dann plötzlich zwei »Free Public WiFi«-Netze verfügbar, was die Sache ja noch spannender machte. Möglicherweise experimentieren da unweit von mir zwei Menschen mit irgendwelchen Mesh-Technologien - und ich hab keine Möglichkeit der Kommunikation. Kurz vor Frankfurt schienen beide Netze jedoch den Zug zu verlassen.

Abschließend durfte ich noch verärgert feststellen, dass wohl neuerdings am Frankfurter Flughafen ein Login mit T-Online nicht mehr möglich ist, ich insofern auch hier, eine sonst recht zuverlässig funktionierende Möglichkeit (relativ langer Halt, gute Netzabdeckung), kein Netz erhielt und dieser Blog-Eintrag wohl noch bis heute abend warten muss, bis er online geht.

Falls jemand sachdienliche Hinweise hat, was »Free Public WiFi« gewesen sein könnte und in welcher Form ich es mir hätte nutzbar machen können, wäre ich um Mitteilung dankbar.

Yesterday I did some maintenance of our server configuration and wondered what would be the correct way to handle unconfigured virtual hosts. E. g. what http-response should come if someone just enters the IP of our server or a domain that just isn't used for http.

At the moment, we're shipping a html-page explaining that it's an unconfigured domain, which is probably okay, but we ship it with HTTP code 200 (which means »OK«). I thought it should probably ship with some kind of error code so that search engines know there's no real webpage.
Now, reading RFC 2616 (HTTP 1.1) didn't answer the question to me. Most near is probably a 404, others we considered were 403, 503 or 204, but non of them seems to really match that situation. Maybe I should write some enhancement request to the IETF...

Comments appreciated, what would you think would be the correct status.

Also, als ich neben stehende Anzeige eben sah, war ich zunächst doch etwas irritiert. Ich dachte die wollen mir jetzt 10 gebrannte DVDs mit dem Film verkaufen.

Handelte sich wohl »nur« um ein Branding, aber hat doch eine gewisse Ironie, DVD-Rohlinge mit einem Hollywoodfilm zu branden.

Ich glaub viel mehr brauch ich heute nicht zu schreiben. Hab ja ne Weile mit mir gerungen, aber nachdem ich vor einigen Tagen Super Mario Galaxy zum ersten mal im Laden sah, musste das Teil einfach her.

Gestern war wieder Webmontag in Karlsruhe. Ich hielt einen Vortrag über Datenschutz und Datensparsamkeit bei Webservern, im Kontext von Wir speichern nicht und dem kürzlichen Urteil gegen das Justizministerium, welches IP-Speicherung untersagte.
Die Diskussion war lebhaft, wobei es sehr schnell in Richtung juristische und politische Fragen ging, während der Vortrag sich eher auf die Technik bezog.
Slides Datenschutz und Datensparsamkeit als OpenDocument

Desweiteren gab es einen Vortrag zu OpenSocial, Bilder vom Barcamp und der Web 2.0 Expo Berlin und Lästereien über den neuen Kalender vom Karlsruher Stadtmarketing.

Beim AK Vorrat gibt's einen Kinospot. Nett gemacht, kannte ich noch nicht.

Sehr schön und auch erst vor ein paar Tagen entdeckt: Das Portal v2v. Diverse Reportagen, der Beitrag Alltag Überwachung fasst wohl das wichtigste zum Thema zusammen. Auch die anderen Sachen hören sich nicht uninteressent an. Das meiste steht unter Creative Commons Lizenzen.

Ich hatte ja mal die Idee des Data Poisoning aufgeworfen (gezieltes Füllen von Datamining-Datenbanken mit Falschinformationen), Three dead Trolls in a Baggie (bekanntestes Werk ist wohl »Every OS sucks«) hatten die selbe Idee und haben dies vertont: The Privacy Song

Und als letzte Erinnerung: Nebst der Klage Irlands vor dem EUGH wohl die größte Aussicht auf Erfolg, die VDS doch noch zu kippen, ist die wohl bislang größte Verfassungsbeschwerde aller Zeiten. Mitmachen kann man noch BIS MORGEN (Montag). Wer es also bislang noch nicht geschafft hat, sollte das unbedingt nachholen, morgen ein Postamt aufsuchen und dort drauf bestehen, dass ein aktueller Poststempel draufkommt.

Update: Fabian wies mich im Kommentar drauf hin dass die Frist bis 24.12. verlängert wurde.

I got an old laptop donated a while back, Pentium 133 with 24 MB RAM, no CDROM, no USB. I wanted to provide it for someone else as a basic internet surfing and office writing station and faced the problem what system would be suitable for that.

I tried some old flavours of Debian, but wasn't really happy. Then I found that there's a dsitribution called DeLi Linux that seemed to be just perfect. What they're doing is providing an intelligent mix of current and old software (yeah, xorg really runs on a P133). They have installation floppies for network install (well, it was nontrivial to find three floppies in my room). It's all a bit like doing Linux by foot, they're missing a real package management (they have one, but no auto-dependencies) and things like that, but that didn't really hurt.

In the end I had an IceWM-Desktop, together with Konqueror-Embedded, alternatively you can use Firefox 1.5 (they backport security fixes) linked against plain X-libs. Texts can be written with AbiWord, linked against gtk1.
It's a nice solution, if you once need some system for a machine where xubuntu is far too bloated, you might want to try out DeLi Linux. According to their webpage, it runs on a 486 with 16 MB.

My stub of an installation report for the HP OmniBook 5500CS is here (I may extend it when I get the laptop back, it has some more devices to explore, internal soundcard, tv-out).

The One Laptop per Child project will soon release a free software version of the classic SimCity game. The company agreed to publish the code under a GPL-license. It'll however contain a clause that modified versions are not allowed to be named SimCity, else it's completely free software.

I think that's great news and would welcome it if more classic games could be freed. Computer games are their own form of culture and we need more projects to protect this kind of culture.

SimCity at the OLPCWiki

Der Volksmund weiss zu berichten, dass »die da oben sowieso alle lügen«.

Heute schreibt bundestag.de zur Abstimmung über die Vorratsdatenspeicherung:
Telekommunikationsdienste sind ab 2008 verpflichtet, die Daten ihrer Kunden sechs Monate lang zu speichern. Festgehalten werden sollen Rufnummer sowie Beginn und Ende der Verbindung, Datum und Uhrzeit, bei Handy-Telefonaten und SMS auch der Standort des Benutzers.
Voraussetzung ist, dass die Behörden den Verdacht haben, dass jemand als Täter einer schweren Straftat in Frage kommt und die Erforschung der Tat auf andere Weise nur sehr schwer oder gar nicht möglich ist.

Versehen oder bewußte Irreführung, falsch ist es in jedem Fall. Wäre es so, man müsste sich viel weniger aufregen, besagt dieser Abschnitt doch, dass nur Menschen, die als Täter einer schweren Straftat in Frage kommen, von der Datenspeicherung betroffen seien.

Gerade das ist ja der größte Kritikpunkt: Die Vorratsdatenspeicherung betrifft eben alle. Dass die Öffentlichkeitsabteliung des Bundestages bei einem so brisanten Thema Falschinformationen verbreitet, die den Sachverhalt verharmlosen, das muss man sich schon auf der Zunge zergehen lassen.

Spontan erfuhr man gestern, dass die gesamte Prominenz der Berliner Politik (das komplette Bundeskabinett) sich in Karlsruhe im Verfassungsgericht aufhält. Angesichts der Mobilisierungsdauer (eMail der Form »kommt alle JETZT SOFORT«) waren wir immerhin doch zu viert.

Bilder inklusive denen vom Dienstag und Kurzvideo.

Update: nh24.de hat ein Video.

Da ich dies mit anderen Angelegenheiten verbinden konnte, nahm ich heute an der Aktion gegen die Vorratsdatenspeicherung in Stuttgart teil. Die Organisation war etwas chaotisch, aber alles in allem doch ne nette Aktion. Etwas ärgerlich: Ich sagte einem Menschen von DPA 180 Menschen, was ich gerade tatsächlich gezählt hatte, am Ende waren's dann aber wohl doch noch ein gutes Stück mehr.

Da sich sonst niemand fand, erklärte ich mich gestern noch spontan zu einem Redebeitrag bereit. Text gibt's unten. Falls ihn jemand für andere Anlässe raubkopieren will, feel free.

Presseschau:
SWR: Stuttgart/Ulm Demonstrationen gegen Datenspeicherung (die haben die 180 prompt zitiert)

Ich bin ja im Moment ganz froh, dass mein Laptop den Eindruck macht als würde er trotz ein paar Macken und Schrammen noch das ein- oder andere Jährchen überstehen. Ich plane in absehbarer Zeit also keinen Laptopkauf, dennoch bin ich immer neugierig und schau ab und an, was in den Läden so rumsteht.

Müsste ich im Moment einen Laptop kaufen, ich wüsste nicht was tun. Es scheint, als hat sich die gesammelte Welt der Laptophersteller darauf geeinigt, nur noch Widescreen-Laptops zu produzieren. In den allermeisten Fällen auch noch mit Auflösungen, mit denen ich nicht ernsthaft arbeiten will (1200x800 scheint so die Norm zu sein).

Liebe Laptop-Hersteller, wenn ihr das lest: Ich plane in vielleicht ein bis zwei Jahren mir ein neues Laptop anzuschaffen. Wenn Eure Produktpaletten weiterhin so schlecht sind, vielleicht auch erst in drei Jahren. Ich glaub Euch ja, dass es viele Menschen gibt, die gerne Widescreen-Laptops benutzen. Vielleicht sogar die Mehrheit. Ich glaub aber beim besten Willen nicht, dass ich der einzige Mensch auf der Welt bin, der das nicht mag. Ich bin mir ziemlich sicher, für qualitativ hochwertige Laptops mit 15"-Display und brauchbarer 4:3-Auflösung (1400x1050 hat mein momentanes und das finde ich ganz ok) gibt es einen Markt da draußen.

Achja, ceterum censeo vollständige Linux-Kompatibilität und ohne Microsoft-Steuer wär natürlich auch nett.

Nächste Woche soll der Bundestag über die Vorratsdatenspeicherung abstimmen. Am Dienstag finden deshalb bundesweit dezentrale Kundgebungen statt, z. B. 17:00 Marktplatz/Stuttgart, ab 16:30 ein Infostand in der Karlsruher Fußgängerzone, weiterhin im Südwesten Aktionen in Freiburg, Tübingen, Ludwigsburg und Ulm. Dürfte für jeden was in der Nähe dabei sein.

Eine Übersicht der Termine beim AK Vorratsdatenspeicherung.