Mittwoch, 4. Juni 2008

backup - sofort!!!

ein backup der daten ist sehr wichtig. zwar weiß man das, doch oft denkt man sich: "das mach ich nächste woche, wird schon nichts passieren" - so wie auch bei mir.

ich hatte vor meinen laptop erst neu aufsetzen, wenn wir endlich diese eine lehrveranstaltung abgeschlossen haben, da ich nicht nochmal diese "viel-geduld-brauchende" installation durchmachen wollte. da eignete sich dieses (verlängerte) wochenende sehr gut.

der plan war so: am samstag zur hochzeit meiner cousine und dann am sonntag oder montag den laptop neu aufsetzen (ich hatte ja gestern und heute glücklicherweise frei).

doch dann trat murphy's gesetz ein ;)
am freitag abend geht die grafikkarte ein, dh die daten waren noch auf der festplatte, doch da ich nichts bzw nur schwarz sah, konnte ich diese nicht kopieren :(
zu meinem glück fand ich am samstag vormittag noch eine computerfirma, die mir die laptop-festplatte auf meine externe sicherte. danach schleunigst zur hochzeit meiner cousine.

am sonntag waren meine eltern und ich "tot" von der hochzeit und verpennten den ganzen tag :)
da fühlte ich mich erstmals hilflos und gelangweilt, da ich keinen laptop hatte. am montag vormittag kaufte ich mir einen neuen laptop, da mein alter schon zu alt war.

mfg mailo

Montag, 19. Mai 2008

ssh tunneling

unser forum funktioniert vom studentenheim aus manchmal nicht. ich vermute es hat etwas mit der ip-adresse zu tun. da unser projektserver nun seit kurzem online ist und auch ssh kann, habe ich mir gedacht, ich versuche mal das forum über einen ssh tunnel anzusurfen. zufälligerweise funktioniert es gerade wieder nicht - die optimale gelegenheit!

man benötigt:
  • einen browser (hier: firefox)
  • einen ssh-client (hier: putty)
  • einen ssh-server mit account (hier: schon vorhanden)
vorgehensweise
putty starten und hostname bzw. ip-adresse und port 22 (ssh) eingeben

putty-ip

bei putty in der kategorie connection -> ssh -> tunnels einen "beliebigen" dynamischen source-port (hier: 6969) durch einen klick auf "add" hinzufügen, der dann bei "forwarded ports" erscheint.

putty-tunnel-einstellung

mit klick auf "open" die verbindung herstellen und mit seinem user-account und passwort einloggen.
im firefox auf extras -> einstellungen -> erweitert -> netzwerk -> einstellungen ... wechseln und unter manuelle proxy-konfiguration bei SOCKS-HOST "localhost" mit dem zuvor gewählten port eingeben.

firefox-einstellungen

jetzt kann im internet über die ip-adresse des ssh-servers gesurft werden. dies kann zb unter www.ip-adress.com überprüft werden.

anmerkung: ein sehr gutes video-tutorial über ssh tunneling (windows und linux) gibt es auf infinityexists.com (wie auch weitere interessante sachen ;)

mfg mailo

Mittwoch, 14. Mai 2008

"versteckten" fehler gefunden

ich bin immer wieder froh und glücklich, wenn ich einen "wie-soll-man-bitte-auf-das-kommen-außer-per-zufall"-fehler gefunden und beseitigt habe - wie auch in diesem fall:

im anwendungsprojekt inkludiere ich gerade den phpmailer in ein drupal-cms, um mails verschicken zu können ohne einen smtp-server zu installieren. nun habe ich es schon so weit geschafft, dass die mail rausgeht, nur kam ich dann auf eine leere seite anstatt redirected zu werden. im log wurde folgende meldung eingetragen:

Cannot modify header information - headers already sent by (output started at [pfad]\includes\phpmailer.inc:28) in [pfad]\includes\common.inc in Zeile 314.

da ich einen editor verwendet habe, der keine zeilennummern anzeigt, fiel es mir nicht auf, dass diese datei aus nur 27 zeilen code bestand. als ich die zeilen zählte und auf 28 kam, war mir alles klar.

die funktion header() wird zum senden von http-headerinfos im rohformat benutzt. da diese infos im header sind, müssen sie vor jeglichen output stehen - nicht einmal ein leerzeichen, eine leerzeile, ein zeilenumbruch noch sonstiges in dieser art darf vor dem aufruf sein. der fehler trat auf, da die phpmailer.inc mittels include() eingelesen wurde und sich ganz zum schluss ein zeilenumbruch nach dem ?> eingeschummelt hatte.

zeilennummern sei dank ;)

mfg mailo

ps: hilfreiche quellen: quelle 1, quelle 2 und quelle 3

anmerkung: lasst euch nicht von den linknamen verwirren ;)

Samstag, 3. Mai 2008

secure (web)applications?

in der heutigen zeit sprießen programme und webapplikationen wie pilze aus dem boden. sobald die applikation irgendwie funktioniert, wird sie releast - im zeitalter von web 2.0 gibt es die tollen logos mit einem kleinen "beta" dran.

nun ja - es wird uns auch meist so vorgelebt (zb verwendet microsoft seine user ja auch als beta-tester). die heutige zeit ist in diesem bereich so schnell-lebig, dass viele meinen, dass man es sich nicht mehr leisten kann die applikation zb ausreichend zu testen - oder von der anderen sichtweise: wenn die applikation wirklich fertig wäre, dann ist sie schon wieder veraltet.

ich weiß nicht, ob es allgemein so ist, aber in meinem fall trifft es zu: ich habe nie gelernt SICHER zu programmieren! ich habe zwar gelernt zu programmieren, aber der security-aspekt war meiner meinung nach nicht wirklich vorhanden. mein ganzes (noch kleines) security know-how habe ich mir selbst erlernen müssen.

warum schreibe ich nun diesen blogeintrag?
ich bin sehr froh, dass ich nun endlich mein fh-projekt (j2ee, jsp) zum laufen gebracht habe. es ist ein simples programm. man ruft es im browser auf und gibt in das eingabefeld die matrikelnummer ein (und drückt enter oder klickt auf den button). danach wird in der datenbank gesucht und, wenn ein eintrag gefunden wird, dieser angezeigt (also matrikelnummer, name und nickname). falls kein entsprechender eintrag gefunden wird, sieht man die meldung "no student found for [matrikelnummer]".

studinfo-matrikelnummer

mein erster gedanke war gleich: "was wäre, wenn ich jemanden suche, der mit mir zu mc donalds geht?" natürlich habe ich sofort statt einer matrikelnummer going to mc donalds eingegeben - leider wurde keiner gefunden ;)

studinfo-mcdonalds

der nächste gedanke war: "OJE! XSS ALARM!" und die eingabe von <script>alert(/XSS/);</script> bestätigte dies!

studinfo-xss

hmm ... da im hintergrund eine datenbank ist und derzeit noch die eingabe direkt in die sql-query kommt, könnte auch eine sql injection erfolgreich sein - sie war es ;)

studinfo-sqlinjection

und die moral von dieser geschichte?
alle benutzereingaben sind BÖSE (bzw sollten als solches angesehen werden)!
ich habe 6 zeilen an code hinzugefügt, um die benutzereingabe zu überprüfen und somit die xss-attacke und sql-injection zu verhindern bzw erfolgreich abzufangen.

wer nun diesen minimalen aufwand bezüglich security weglassen will, der soll es von mir aus auch tun - it's your choice!
security muss nicht unbedingt komplex sein - keep it simple!

mfg mailo

Samstag, 26. April 2008

javascript fun

hierauf bin ich zufällig gestoßen. wenn man auf der google-seite ist, muss man die adressleiste leeren und folgendes eingeben:

javascript:R=0; x1=.1; y1=.05; x2=.25; y2=.24; x3=1.6; y3=.24; x4=300; y4=200; x5=300; y5=200; DI=document.images; DIL=DI.length; function A(){for(i=0; i-DIL; i++){DIS=DI[ i ].style; DIS.position='absolute'; DIS.left=Math.sin(R*x1+i*x2+x3)*x4+x5; DIS.top=Math.cos(R*y1+i*y2+y3)*y4+y5}R++ }setInterval('A()',5); void(0);

es funktioniert auch bei amazon (noch besser).

mfg mailo

Sonntag, 20. April 2008

online desktop

in einer lernpause bin ich über den artikel online-desktop: der rechner wandert ins netz gestoßen und mir haben sich die nackenhaare aufgestellt. damit meine ich, dass das überhaupt nichts für mich wäre bzw dass jemand sehr sehr (ja, 2 mal "sehr" sogar) gute gründe liefern muss, um mich davon zu überzeugen.

zwar gibt es einige vorteile wie zb die große verfügbarkeit von (fast) überall, da man nur einen browser bzw eine kleine applikation zum verbinden braucht. doch meine daten* möchte ich bei mir haben! ich bin sehr dagegen, dass meine daten* irgendwo im internet sind.

ich hoffe, dass sich die noch im beta-stadium befindlichen anwendungen zumindest so weiterentwickeln, damit das relativ** sicher wird. es gibt sehr viele leute, die leichtfertig mit ihren daten umgehen. es gibt auch sehr viele leute die sich nicht einmal mit dem gerät vor ihnen auskennen - wie sollen die dann bitte verschiedene sicherheitsmaßnahmen anwenden/einsetzen können?

ich kann mir nicht wirklich vorstellen, dass firmen dieses konzept in anspruch nehmen und ihre wichtigen (firmeninternen) daten dann ins weltweite netz stellen (auf servern, die von anderen betreut werden).

anmerkung
ja, es könnte sein, dass ich zurzeit datenschutzrechtlich ein bisschen mehr aufgedreht bin als sonst.
grund: datenschutzpräsentation in informationsethik hinter mir und datenschutzprüfung noch vor mir (bin gerade beim lernen und hoffe nicht von den paragraphen erschlagen zu werden ;)

mfg mailo

* meine privaten lokal gespeicherten daten
** alles was aus nullen und einsen besteht, kann man manipulieren; nichts ist 100%ig sicher - und schon gar nicht wenn es mit computern zu tun hat; wenn man das system kennt, kann man es (meist) auch umgehen

Dienstag, 25. März 2008

no tech hacking

vor längerer zeit bin ich auf das no tech excerpt von johnny long gestoßen und war einerseits sehr begeistert, aber andererseits auch recht verblüfft.

als ich heute per zufall das video der präsentation (59 minuten) dazu entdeckt habe, dachte ich mir: das ist einen blogeintrag wert (nicht nur wegen dem inhalt, sondern auch wegen dem präsentationsstil ;)

enjoy it!

mfg mailo

Mittwoch, 19. März 2008

take a break

nach den ersten intensiven, lustigen und lernreichen 5 seminartagen nlp (neuro-linguistisches programmieren) zum nlp practitioner starte ich nun in die ferien. ich schaffe es immer wieder meine kurzen ferien noch weiter zu verkürzen - das ist eben der preis für neugierde, wissensdurst und den drang zur weiterentwicklung (den ich aber gerne in kauf nehme). die kleine seminargruppe besteht hauptsächlich aus studienkollegen und -innen was weiteren spaß und insider-jokes zur folge hat.

glücklicherweise sind die seminartage so aufgeteilt, dass diese nicht mit dem studienbetrieb kollidieren. auch der juni ist freigehalten, da dort die meisten fh-prüfungen stattfinden. im juli kommt es zum abschluss des seminars (schriftliche prüfung, projektarbeit und praxistest).

früher war ich immer erstaunt, wenn ich von jemanden gehört habe, der neben dem studium noch durch andere tätigkeiten aktiv ist (wegen dem zeit- und selbstmanagement). nun ja ... technisches studium, nebenbei eine homepage betreuen und an einem seminar teilnehmen ... kommt schon ganz in diese richtung :)

aber das leben ist sowieso zu kurz - daher sollte man jeden moment auskosten! (jeder auf seine art ;)

mfg mailo

user status

Du bist nicht angemeldet.

archiv

März 2025
Mo
Di
Mi
Do
Fr
Sa
So
 
 
 
 
 
 1 
 2 
 3 
 4 
 5 
 6 
 7 
 8 
 9 
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
 
 
 
 
 
 
 
 
 

hinweis

die in diesem blog enthaltenen beiträge dienen ausschließlich dem informationszweck!

der autor übernimmt KEINE HAFTUNG für jeglichen missbrauch dieser informationen!

latest comments

Kumpulan Cerita Seks...
Kumpulan Cerita Seks Dewasa Terbaru 2017 Cerita Sex...
Cerita Sex (Gast) - 27. Feb, 02:58
St Patricks' Day Symbols...
The parade has more than 150,000 participants and attracts...
st patricks day t shirt (Gast) - 23. Feb, 14:08
John
Exclusively at Target 42 Bluray Combo Pack with exclusive...
Smithk112 (Gast) - 25. Mai, 20:10