ich bin immer wieder froh und glücklich, wenn ich einen "wie-soll-man-bitte-auf-das-kommen-außer-per-zufall"-fehler gefunden und beseitigt habe - wie auch in diesem fall:

im anwendungsprojekt inkludiere ich gerade den phpmailer in ein drupal-cms, um mails verschicken zu können ohne einen smtp-server zu installieren. nun habe ich es schon so weit geschafft, dass die mail rausgeht, nur kam ich dann auf eine leere seite anstatt redirected zu werden. im log wurde folgende meldung eingetragen:


da ich einen editor verwendet habe, der keine zeilennummern anzeigt, fiel es mir nicht auf, dass diese datei aus nur 27 zeilen code bestand. als ich die zeilen zählte und auf 28 kam, war mir alles klar.

die funktion header() wird zum senden von http-headerinfos im rohformat benutzt. da diese infos im header sind, müssen sie vor jeglichen output stehen - nicht einmal ein leerzeichen, eine leerzeile, ein zeilenumbruch noch sonstiges in dieser art darf vor dem aufruf sein. der fehler trat auf, da die phpmailer.inc mittels include() eingelesen wurde und sich ganz zum schluss ein zeilenumbruch nach dem ?> eingeschummelt hatte.

zeilennummern sei dank ;)

mfg mailo

ps: hilfreiche quellen: quelle 1, quelle 2 und quelle 3

anmerkung: lasst euch nicht von den linknamen verwirren ;)

in der heutigen zeit sprießen programme und webapplikationen wie pilze aus dem boden. sobald die applikation irgendwie funktioniert, wird sie releast - im zeitalter von web 2.0 gibt es die tollen logos mit einem kleinen "beta" dran.

nun ja - es wird uns auch meist so vorgelebt (zb verwendet microsoft seine user ja auch als beta-tester). die heutige zeit ist in diesem bereich so schnell-lebig, dass viele meinen, dass man es sich nicht mehr leisten kann die applikation zb ausreichend zu testen - oder von der anderen sichtweise: wenn die applikation wirklich fertig wäre, dann ist sie schon wieder veraltet.

ich weiß nicht, ob es allgemein so ist, aber in meinem fall trifft es zu: ich habe nie gelernt SICHER zu programmieren! ich habe zwar gelernt zu programmieren, aber der security-aspekt war meiner meinung nach nicht wirklich vorhanden. mein ganzes (noch kleines) security know-how habe ich mir selbst erlernen müssen.

warum schreibe ich nun diesen blogeintrag?
ich bin sehr froh, dass ich nun endlich mein fh-projekt (j2ee, jsp) zum laufen gebracht habe. es ist ein simples programm. man ruft es im browser auf und gibt in das eingabefeld die matrikelnummer ein (und drückt enter oder klickt auf den button). danach wird in der datenbank gesucht und, wenn ein eintrag gefunden wird, dieser angezeigt (also matrikelnummer, name und nickname). falls kein entsprechender eintrag gefunden wird, sieht man die meldung "no student found for [matrikelnummer]".



mein erster gedanke war gleich: "was wäre, wenn ich jemanden suche, der mit mir zu mc donalds geht?" natürlich habe ich sofort statt einer matrikelnummer going to mc donalds eingegeben - leider wurde keiner gefunden ;)



der nächste gedanke war: "OJE! XSS ALARM!" und die eingabe von <script>alert(/XSS/);</script> bestätigte dies!



hmm ... da im hintergrund eine datenbank ist und derzeit noch die eingabe direkt in die sql-query kommt, könnte auch eine sql injection erfolgreich sein - sie war es ;)



und die moral von dieser geschichte?
alle benutzereingaben sind BÖSE (bzw sollten als solches angesehen werden)!
ich habe 6 zeilen an code hinzugefügt, um die benutzereingabe zu überprüfen und somit die xss-attacke und sql-injection zu verhindern bzw erfolgreich abzufangen.

wer nun diesen minimalen aufwand bezüglich security weglassen will, der soll es von mir aus auch tun - it's your choice!
security muss nicht unbedingt komplex sein - keep it simple!

mfg mailo

hierauf bin ich zufällig gestoßen. wenn man auf der google-seite ist, muss man die adressleiste leeren und folgendes eingeben:


es funktioniert auch bei amazon (noch besser).

mfg mailo

in einer lernpause bin ich über den artikel online-desktop: der rechner wandert ins netz gestoßen und mir haben sich die nackenhaare aufgestellt. damit meine ich, dass das überhaupt nichts für mich wäre bzw dass jemand sehr sehr (ja, 2 mal "sehr" sogar) gute gründe liefern muss, um mich davon zu überzeugen.

zwar gibt es einige vorteile wie zb die große verfügbarkeit von (fast) überall, da man nur einen browser bzw eine kleine applikation zum verbinden braucht. doch meine daten* möchte ich bei mir haben! ich bin sehr dagegen, dass meine daten* irgendwo im internet sind.

ich hoffe, dass sich die noch im beta-stadium befindlichen anwendungen zumindest so weiterentwickeln, damit das relativ** sicher wird. es gibt sehr viele leute, die leichtfertig mit ihren daten umgehen. es gibt auch sehr viele leute die sich nicht einmal mit dem gerät vor ihnen auskennen - wie sollen die dann bitte verschiedene sicherheitsmaßnahmen anwenden/einsetzen können?

ich kann mir nicht wirklich vorstellen, dass firmen dieses konzept in anspruch nehmen und ihre wichtigen (firmeninternen) daten dann ins weltweite netz stellen (auf servern, die von anderen betreut werden).

anmerkung
ja, es könnte sein, dass ich zurzeit datenschutzrechtlich ein bisschen mehr aufgedreht bin als sonst.
grund: datenschutzpräsentation in informationsethik hinter mir und datenschutzprüfung noch vor mir (bin gerade beim lernen und hoffe nicht von den paragraphen erschlagen zu werden ;)

mfg mailo

* meine privaten lokal gespeicherten daten
** alles was aus nullen und einsen besteht, kann man manipulieren; nichts ist 100%ig sicher - und schon gar nicht wenn es mit computern zu tun hat; wenn man das system kennt, kann man es (meist) auch umgehen

vor längerer zeit bin ich auf das no tech excerpt von johnny long gestoßen und war einerseits sehr begeistert, aber andererseits auch recht verblüfft.

als ich heute per zufall das video der präsentation (59 minuten) dazu entdeckt habe, dachte ich mir: das ist einen blogeintrag wert (nicht nur wegen dem inhalt, sondern auch wegen dem präsentationsstil ;)

enjoy it!

mfg mailo

nach den ersten intensiven, lustigen und lernreichen 5 seminartagen nlp (neuro-linguistisches programmieren) zum nlp practitioner starte ich nun in die ferien. ich schaffe es immer wieder meine kurzen ferien noch weiter zu verkürzen - das ist eben der preis für neugierde, wissensdurst und den drang zur weiterentwicklung (den ich aber gerne in kauf nehme). die kleine seminargruppe besteht hauptsächlich aus studienkollegen und -innen was weiteren spaß und insider-jokes zur folge hat.

glücklicherweise sind die seminartage so aufgeteilt, dass diese nicht mit dem studienbetrieb kollidieren. auch der juni ist freigehalten, da dort die meisten fh-prüfungen stattfinden. im juli kommt es zum abschluss des seminars (schriftliche prüfung, projektarbeit und praxistest).

früher war ich immer erstaunt, wenn ich von jemanden gehört habe, der neben dem studium noch durch andere tätigkeiten aktiv ist (wegen dem zeit- und selbstmanagement). nun ja ... technisches studium, nebenbei eine homepage betreuen und an einem seminar teilnehmen ... kommt schon ganz in diese richtung :)

aber das leben ist sowieso zu kurz - daher sollte man jeden moment auskosten! (jeder auf seine art ;)

mfg mailo

wegen einer kurzzeitigen langeweile (keine ahnung ob es sowas eigentlich gibt) bin ich auf die idee gekommen mein handy so zu konfigurieren, um meine e-mails damit abrufen zu können.

soweit sogut - es scheiterte an der passworteingabe meines e-mail-accounts. nicht, weil ich mich vertippt hätte - nein - mein handy unterstützt nur passwörter bis zu 15 zeichen!

lösungsvorschlag: mein 19-zeichen-passwort auf 15 zeichen reduzieren!

mein kommentar dazu: sachen gibts! :)

mfg mailo

bei der informationsbeschaffung im internet nerven neben ins-nichts-führende google-links nur mehr vielversprechende ins-leere-führende links (für "kreativere" namen habe ich leider keine zeit gehabt ;)

lustig finde ich, wenn dann im quellcode folgendes zu finden ist:

wahrscheinlich damit man weiter unten nicht den

<frame src="&#104;&#116;&#116;&#112;&#58;&#47;&#47;___&#99;&#108;
&#105;&#99;&#107;&#98;&#97;&#110;&#107;&#46;&#110;&#101;&#116;&#47;">

findet, der folgendes ergibt: http://___clickbank.net/ (link zensiert)

somit hab ich wieder mal meinen ascii-converter zum einsatz gebracht ;)

mfg mailo