Ich möchte Euch diesen großartigen Vortrag von Joanna Rutkowska sehr ans Herz legen. Diese Aufnahme des Linux-Magazin stammt aus dem letztjährigen DFN-Workshop „Sicherheit in vernetzten Systemen“. .

In Ihrem Vortag hält Rutkowska ein sehr überzeugendes Plädoyer für die Bedeutung des Aspektes der Erkennung von kompromittierten Systemen. Sie kritisiert die einseitige Fokussierung auf den Aspekt der Prävention und trifft damit bei mir voll ins Schwarze, da auch in meinem Bewußtsein die Prävention stehts die größte Bedeutung besaß und Erkennung zwar nicht unbedeutend, aber doch nachrangig war. Denn: wer ein integeres System will, der muß den Einbruch verhindern. Erkennung greift erst im Schadensfall.

Genau hier hakt Rutkowska jedoch sehr überzeugend ein. Weiterlesen

Heute wurde mir wieder einmal mehr klar, warum ich OpenSuSE zwar auf dem Desktop, nicht aber auf dem Server einsetze. Aktueller Fall: proftpd läuft bei einem Kunden nicht im Standalone-Betrieb. Der Service forked nicht. Warum? Weil die OpenSuSE-Leute den Dienst tatsächlich mit --enable-devel=coredump,nodaemon,nofork übersetzt haben! Skuriler gehts nimmer.

Seit zwei Jahren ärgere ich mich ständig nach einem Kernelupdate mit VMware rum, weil VMware kein Kernelmodul gegen den neuen Kernel baut. Es ist mittlerweile schon lästige Routine geworden nach dem aktuellen, inoffiziellen „Any-Any-Patch“ zu suchen, den Petr Vandrovec, ein VMware-Mitarbeiter, erstellt hat, und den VMware-Installer damit zu patchen. Weiterlesen

Das Update von 10.3 auf OpenSuSE 11.0 war schmerzfrei und ging flott von der Hand. Neben Softwareaktualisierungen viele Verbesserungen im Detail. Bin recht angetan. Aaaber: warum hat es mir schon wieder den Bootsektor zerschossen? Warum musste ich selbst wieder Hand an grub legen?

Update: Man soll den Tag nicht vor dem Abend loben: postfix/master[17716]: fatal: 127.0.0.1:smtps: Servname not supported for ai_socktype Hab den Service erstmal auskommentiert (was eigentich nicht im Sinne des Erfinders ist… Ich benutzte ihn tatsächlich). Hat jemand eine Ahnung woran das liegen könnte?

Update (zehn Minuten später): Problem hat sich geklärt. SuSE hat die /etc/services aktualisiert. Unter 465/tcp steht jetzt urd statt smtps. Den Port beim Service in der master.cf mitzukonfigurieren oder den Eintrag in /etc/services zu ändern hilft.

Ich bin sehr restriktiv im Einsatz von JavaScript. Dies hat drei Gründe:

  1. Ein Großteil aller Browser-Sicherheitslücken wird über JavaScript getriggert bzw. liegt in den Fähigkeiten JavaScripts begründet.
  2. Mit JavaScript wird allerlei nervige Werbung (Pop-Up’s, Layer u.a.) realisiert.
  3. JavaScript wird zunehmend für Tracking-Zwecke benutzt.

Wenn Phorms Masche zukunftsträchtig sein sollte, dann wird selektives Abschalten wohl leider nicht mehr so hilfreich sein und sich die Frage, ob man JavaScript nicht doch wieder ganz abschaltet, wieder neu stellen. Ich hoffe angesichts des AJAX-Booms, dass es dann dazu auch noch die Möglichkeiten geben wird…

Vorhin im Jabber-Chat:

B: Instant Messaging wird geblocked.
L: Dann tunnel das doch via ssh.
B: Das geht auch nicht. ssh ist wird auch geblocked.
L: Ja und?

Denn das ist überhaupt gar kein Problem. Mit nur etwas Networking-Know-How und Zugriff auf irgendein vernetztes System kann man nahezu alles tunneln. Weiterlesen

xdebug ist mir seit mehr als einem Jahr ein unentbehrliches Hilfsmittel. Seit fast eben so langer Zeit hatte ich hier vor einen einführenden Artikel zu schreiben. Aber… Entweder es mangelt mir an Zeit und wenn nicht an Zeit, dann an Lust, deshalb wurde daraus nichts. Erfreulicherweise hat die Zend Developers Zone vor ein paar Tagen den ersten Artikel einer Serie zu xdebug von Stefan Priebsch veröffentlicht. Meines Erachtens eine Pflichtlektüre für alle PHP-Entwickler die xdebug noch nicht kennen.

Update (7. Februar 2008): Kristian Köhntopp hat aufgeschrieben wie man vim oder Quanta zum Debuggen mit xdebug einsetzen kann.

Mich nervt schon seit längerem der missionarische Eifer den manche meiner Bekannten packt seit sie einen Mac besitzen. Um das mal deutlich zu sagen: ich habe keine Lust mehr auf dummes Drohnengeblubber. Zugestanden sei: Eure Geräte haben die schönste Optik. Die verbreitete Vorstellung aber, im Besitz des besten aller Systeme zu sein, die kann man nur als naiv und dumm bezeichnen. Das manches, was zu solchen Bewertungen verführen mag, reine Geschmacksfragen sind, lasse ich in meiner Kritik mal außen vor. Tatsache ist: Mac OS X hat, wie jede verbreitete Betriebssystem, Vorzügen, aber auch Schwächen. Die ach so gepriesene Usability etwa erweist sich als Chimäre: wer gerne und viel mit der Tastatur arbeitet wird die OS X-GUI wenig mögen. Richtig ärgerlich aber sind schon seit langem die Schwächen in Punkto Sicherheitsfragen. Weiterlesen