/usr/portage

Things I don’t really love 5

$database->Execute ("INSERT INTO foo SET baz='".$_POST ['bar']."'");

Filed on 10-03-2006, 11:11 under , , , & five comments & no trackbacks

Calm down 0

Found this bug a few weeks ago but marked it for myself as ugly but uncritical (Hannes will remember, used his blog as test environment). Until today I haven’t changed my mind, because you need a lot of luck to passthrough with this injection. Just a combination of missing Spam-Karma and stupid blog-owner does the thing. So, calm down. Nevertheless: Wordpress is a great bughole, you won’t use it.

Filed on 02-03-2006, 13:01 under , , , , , , & no comments & no trackbacks

Teh Zett-Dee-Eff enttekkt tass Intharweb zwo null 0

Von lauernden Gefahren kann man nun beim ZDF lesen (via Stefan »die coole Sau« Mosel).

Filed on 21-02-2006, 14:02 under , , , , & no comments & no trackbacks

Webmontag Frankfurt 14

»Schon besser« wäre mein Fazit. Nachdem ich zum ersten Webmontag in Köln noch fleißig herumgepöbelt habe, konnte ich es trotzdem nicht lassen, wieder hinzugehen. Diesmal sogar mit eigenem Vortrag (mit fukami) zu Sicherheit im Web 2.0. Angelegt klarzumachen, dass mit dem Paradigmenwechsel von der Content-zentrierten Anwendung hin zur User-zentrierten auch einige neue Gefahren auftauchen, besser gesagt alte Gefahren in neuen Gewändern, und ausgebaut als kleiner Rant über existierende Probleme. Meinen ausdrücklichen Dank an Nico Wilfer für seine Coolness, zwei seiner Projekte als Demoobjekte herzugeben. Glaube nicht, dass das jeder so bringt, danke. Weitere Ergebnisse des Abends: Gerrit van Aaken ist didaktisch durchaus talentiert, sein Vortrag zu Typographie im Netz war spannend, Beate Paland gab eine wirklich gute Einführung (soweit ich das mitbekam) in Ruby on Rails, Moe ist auch live ne coole Sau und: es hat diesmal schon viel mehr Spaß gemacht.

Update:
Moe hält uns für nette User, Thomas Wahnhoff sieht unseren Vortrag unter den besten, poocs.de hat Photos, blogwinkel bringt meinen Realname und meinen Nick zusammen, sollte ich gleich verklagen (macht man heute anscheinend so), zu hören gibt es uns auch und die Folien stehen nun auch online (Live, Tarball).

Filed on 07-02-2006, 07:07 under , , , , , , , , , , , , & 14 comments & one trackback

The other side: Security 2.0 alpha 2

Talk on Webmontag is over. Now it’s time to publish some security related issues I found out over the last weeks.


Continue reading "The other side: Security 2.0 alpha"

Filed on 07-02-2006, 00:12 under , , , , , , , , , , & two comments & two trackbacks

Auf zum … 0

Webmontag.

Filed on 06-02-2006, 16:04 under , , , , , , & no comments & no trackbacks

Shit happens 0

Just now I want to release a shiny new version of my bBcode-implementation but then I found a serious JavaScript injection hole in there. So you have to wait.

Filed on 02-02-2006, 22:10 under , , , & no comments & no trackbacks

Elegant 0

So macht man das. Elegant, elegant.

Filed on 30-01-2006, 20:08 under , , , , & no comments & no trackbacks

Security 0.1 0

Maybe LiveJournal should employ someone who knows something about web security. Read more …

via Fukami

Filed on 21-01-2006, 15:03 under , , , , , , , & no comments & no trackbacks

Lieblingsbug 0

Emuliert mehr Windows-Fehler!

Filed on 15-01-2006, 01:01 under , , , , , , , , & no comments & no trackbacks

22C3 - Der erste Tag 4

Mit komfortablem Nachtzug angereist, gutes Hotel gewählt, Hanno berichtete. Heute einige nette und einige weniger nette Vorträge genossen. Nett war Piratbyrån, eine schwedische Organisation die offensiv für die Handlung des Kopierens beliebiger Inhalte eintritt. Einige Zuhörer waren zu spießig, sowas »kann man« – in Deutschland – »nicht fordern«. Julian findet das natürlich auch, Hanno nicht. Joi Ito habe ich leider verpasst. Spannend auch der Votrag von Bert Bos zur Weiterentwicklung der Webstandards v.a. mit Fokus auf mobilen Endgeräten. Geile CSS-Hackereien kommen da auf einen zu, u.a. die Neuerfindung der Tabelle als Layoutelement. Nur diesmal »in sinnvoll«. Mehr wird nicht verraten, ihr wisst schon, Akkumulation von kulturellem Kapital und so. Langweiliger Vortrag von Attac (genauer: Oliver Moldenhauer, Julian Phinn), typisches WTO-Einführungsdingsda. Substanz– und folgenlos.
Richtig ätzender Talk zu »We lost the war«: angelegt als Realitätsabgleich für Hacker, ausgebaut als Wettbewerb der Vollidioten, deren politisches Verständnis den Begriff Verständnis veräppelt. Ich bin geneigt zu sagen: »Hacker bleib’ bei deinen Rechnern«. Aber dazu gleich mehr.
Ansonsten wichtig: Daniel Kulla live und in Farbe kennen gelernt. Aufklärerischer Fixpunkt zum regelmäßigen Lästern.

Filed on 27-12-2005, 23:11 under , , , , , , , , , & four comments & no trackbacks

Updating Gentoo to MySQL 4.1 2

First of a clean method. But this is too boring. Not really, I was just too stupid to differ «–buildpkg» und «–buildpkgonly». Too stupid. If you’d done this, you should not run into any problems if you were not intelligent enough to specify the USE-flag «utf8» which enables one of the killer-features in MySQL 4.1: internal use of unicode, what a fine thing! Enabling this without backing up your databases leads to a shortening of all varchar-fields. So the only solution is to get the structure of the old databases from the backup, doing some scripting magic (see below) and alter all varchar-fields. But, you won’t regret your upgrade. MySQL 4.1 provides a lot of nice things, especially the abovely mentioned unicode-issues and, as another serious highlight: combined queries.

Script:
cat structure.sql | sed -e "s:^CREATE TABLE \(.*\) (:ALTER TABLE \1:g" -e 's:^ \([^ ]*\) \(.*\):CHANGE `\1` `\1` \2:g' -e "s:^) TYPE=MyISAM::g" | grep -v "CHANGE UNIQUE" | grep -v "PRIMARY KEY" | grep -v "CHANGE KEY" | grep -v "KEY KEY" | grep -v "^–" | grep -E "(varchar|;|USE|ALTER)" | tr "\n" "#" | sed -e "s:,#;:;##:g" -e "s:ALTER TABLE [a-Za-z0-9_-+] #;::g" | tr "#" "\n" | sed -e 's:^ALTER TABLE \(.*\):ALTER TABLE `\1`:g' > test.sql

Filed on 19-10-2005, 18:06 under , & two comments & one trackback

blogweb.de defaced 4

Wie es scheint wurde blogweb.de gehackt. Ein Gruppe, die sich »Old School« nennt und mein anmerken zu müssen ndcrptn + y0rk + no-root + no-hax0r. Soso. Irgendwie ist das unsymphatisch.

[ Für die Spanner unter euch: ein Screenshot ]

Filed on 03-09-2005, 23:11 under , , & four comments & no trackbacks

It's A Good Day But Just A Beginning 0

OpenSSH 4.2 has been released (see Pro Linux, german only). As a start that’s not so important. Version bumps are common in the OpenSource community. But as a security enhancement they higher the default size of SSH-keys from 1024 to 2048, which makes sense in general primarily for the RSA-algorithm, which could be broken in the size of 1024. For paranoiac reason it makes sense to use 4096 RSA-keys to be on the bright side of security. But highering the SSH-keys is not enough, we need to get rid of MD5 and SHA1 completely, e.g. the /etc/shadow must use another algorithm, example whirlpool or SHA512; GnuPG uses SHA1, Gentoo’s portage uses MD5-checksums and so on. The free software community seems to deal with that problem like a dying duck in a thunderstorm. It’s high time to check out alternatives, it’s high time to take the cryptography experts seriously. I don’t understand them also but I think we have to trust.
And, for fun: my workmate told me, that SHA1 is mandatory for the security issues of banks. That’s too funny. If you think on the average duration if a law is changed here you shouldn’t do any online-banking from now on.

Filed on 03-09-2005, 11:11 under , , , & no comments & no trackbacks

Whirlpool in PHP 0

Hanno says goodbye to SHA1 and hello to Whirlpool and similiar, Stuart Herbert mentioned, that there is a way to have whirlpool in PHP and Python. Thanks, Stuart. I didn’t know this until now.

Filed on 18-08-2005, 12:12 under , & no comments & no trackbacks

↖ Older Entries Newer Entries ↘