Technik, Gothic und Anderes

Ich mag es sehr, Leute zu ängstigen. Früher, zu den Gothenzeiten, habe ich dafür ein ganzes Arsenal von Dingen gebraucht: Schminke, Linsen, künstliche Fingernägel, … Heute reicht meine Anwesenheit und mein Gesicht . Wenn ich mich unter besonders verständnisvollen Menschen befinde, breche ich in spontane, apokalyptische Prophezeiungen oder aber auch abwechselnd in ebenso apokalyptisch anmutende Zuckungen aus.

Als besonders ängstigend hat sich auch folgendes Vorgehen herausgestellt: Man fixiert eine Person, lächelt wissend, nickt ebenso wissend und macht wissende Bemerkungen wie “ja, es ist schon schwer” oder aber auch “ich denke Du machst bald einen Fehler”.

Online kommt mein Gesicht nicht so zur Geltung und Zuckungen fahren über die Webcam auch nicht so apokalyptisch durch Mark und Bein, also haben acht von neun Stimmen in meinem Kopf gesagt, ich soll den letzten Trick elektronifizieren (eine Stimme summte die Melodie von Tetris).

Danasoft hat schon was sehr Nettes, wie man am Lead-Image erkennen kann. Ich will aber nichts Nettes, sondern was Böses, darum habe ich die Pöhse Horror Pranke (PHP) hervorgeholt und was gecoded.

Grundidee

(Reload für weitere Weisheiten).

Es soll eine Signatur (oder Batch, Widget, Papperl, …) werden, die man in Foren (MyFace, SpaceBook, prollVZ, …) und Blogs verwenden kann, und das vorgibt mehr zu wissen als es tatsächlich tut.

Lesen Sie den Rest des Beitrags »

• Automatisches und mehrfaches submitten von Formularen
• Mit PHP einen Monat mit verlinkbaren Daten anzeigen
• PHP_SELF ist böse! Potentielles Cross Site Scripting (XSS)!
• PHP-UWA Widget Library
• Einfache Animationen auf der Konsole mit PHP (1-Dimensional)
• Erstellen eines Timers in Xoops
• Eine eigene Programmiersprache erschaffen? Lexer und Parser in PHP!
• Moodle Block Resource-Download
• Zipdateien on-the-fly erstellen mit PHP
• Schere, Stein, Papier: Bewertungen im Kreis

Eingeordnet in Web | 4 Kommentare »

Schon länger bin ich nun in Besitz eines Asus eee (4g). Ein wahrlich schnuckliges Teil, das mir viel Freude bereitet. Es hat die korrekte Grösse - die gerade noch an den meisten Sitzungstischen toleriert wird -, ist genügend schnell und ist gerade noch bedienbar. Als Erstes habe ich mehr RAM spendiert, mich mit SD-Karten rumgeschlagen und das Internet auf einem Stick besorgt. Nun kann ich unterwegs entwickeln, surfen, Filmchen kucken und auch live bloggen.

Das Betriebssystem

Das modifizierte Xandros auf dem eee ist erste Sahne, wirklich! Die reduzierte Komplexität hat den Nachteil, dass die Komplexität reduziert ist , darum wollte ich ein “richtiges” Linux.

Ubuntu sollte es sein! Nun hat man die Wahl zwischen eeeXubuntu, Ubuntu-eee oder dem standard Ubuntu. Ich habe mich für eeeXubuntu entschieden und das lief auch gut bis zum Update auf Ubuntu 8.04. Aber mit etwas Suchen habe ich dann eine gute Reparaturanleitung gefunden. Um das Ethernet wieder zum Laufen zu bringen, musste ich den Akku entfernen und wieder reinschieben (ohne Witz).

Grundsätzlich scheint es immer gleich zu laufen: Betriebssystem installieren und dann tweaken, um die Spezialfunktionen des eee zum Laufen zu kriegen. Glücklicherweise gibt es fertige Tweak-Skripts:

• Die Zusammenstellung von eeeXubuntu.
• Die eee Tweaks.
• Das Überscript: Riceeey Tweaks.

Diese Scripts müssen immer mal wieder gestartet werden… Beim Update und auch mal so, zur Erinnerung wahrscheinlich.

Sammlung von Kleinigkeiten

Hier werde ich die kleinen Dinge hinschreiben, die eventuell von Interesse und/oder wiederverwendbar sind.

Die Widerherstellungs-DVD

Die Widerherstellungs-DVD ist mehr als wählerisch was das Betriebssystem angeht. Will man einen recovery-USB-Strick herstellen, geht das nicht unter Linux und nicht unter Vista (auch wenn man die XP-Kompatibilität einschaltet). Unter XP hats dann wunderbar gefunzt und die Widerherstellung lief wie durch warme Butter.

Ändern des Standard-Bootmenüs

Die lügt die Kleine, und das gerade aus! Will man das Standardbootmenü verändern, so kann man die Vorhandene /boot/grub/menu.lst anpassen bis zum letzten Tage und grub-updateen oder grub-installen bis der Gothe noch schwärzer wird. Diese Datei dient nur als Lockvogel für Frickler, die richtig-richtige Datei ist wo ganz anders! Ausführlich beschrieben ist es bei eeeuser.com und WikiHow. Aber natürlich habe ich auch erst gesucht, nachdem ich ernsthaft (noch mehr) an meiner geistigen Gesundheit zu zweifeln begonnen habe… Kurz zusammengefasst:

1. EEE rebooten und esc und/oder F9 widerholt und bestimmt drücken. Sporadisches Fluchen scheint auch zu helfen. Es sollte ein Bootmenü aufgehen, das ungefähr so aussieht:
   
2. Beim ersten Eintrag e drücken und den Kerneleintrag um XANDROSBOOTDEBUG=y ergänzen.
3. Mit b booten.
4. sda1 und sda2 mounten:

   mount /dev/sda1 /mnt-system
   mount /dev/sda2 /mnt-user
   

5. Nun kann /mnt-system/boot/grub/menu.lst (die Richtige!) editiert oder mit einer vorbereiteten auf dem Userdateisystem überschrieben werden.

Zum Glück haben die Kriedewagens die original menu.lst gepostet…

802.1X auf dem Original Xandros

Muss man sich authentifizieren, so hat eeeuser eine gute Anleitung wie man 802.1X zum Laufen kriegt.

• Internet auf dem Stick: MC950D und T@ke Away von Sunrise unter Linux
• Grub mit Bild beim Booten
• Asus EEE bei Digitec.ch online bestellen?
• PEAP - 802.1X unter Linux
• Ich will sie alle: Informatikzertifikate und -kätchen
• Sony Ericsson P910i über Bluetooth zu Linux mit dem Internet verbinden
• Kurz und Schmerzlos: SD-Karten unter Linux am Laptop
• Und es geht doch! GTCO Schoolboard unter Linux
• Videos und Musik unter Linux mit dem iRiver X20
• Office 2007 Wordateien (docx) unter (Debian) Linux mit OpenOffice öffnen

Eingeordnet in Hardware, Linux | 4 Kommentare »

Nachdem ich die Ameisen in meiner Wohnung mit ganz perfidem tragts-es-zu-euch-nach-Hause-und-vergiftet-eure-Nachkommen-Gift losgeworden bin, habe ich sehr viel sympathischere Zeitgenossen dieser Spezies getroffen: AntMe ist ein Programmierspiel, dass aus Microsofts Coding4Fun Initiative (nicht zu verwechseln mit dem Galileo Coding for Fun Buch. Das ist auch spassig, behandelt auch AntMe, aber zusätzlich noch viele Andere Dinge) hervorgegangen ist. Es hat einen eigenen Wikipedia Artikel und vorallem eine geniale Homepage.

Grundsätzlich geht es darum Ameisen zu implementieren die überleben, Äpfel und Zucker sammeln und unter Umständen auf Käfer und fremde Ameisen losgehen. Ein Markierungsmechanismus sorgt dafür, dass die Ameisen untereinander kommunizieren können. Fortgeschrittene Ameisenpapis und -mamis können spezialisierte Ameisen erstellen und RPG mässig Eigenschaften verbessern, wenn sie dafür andere verschlechtern.

Die Ameisen können in C# oder in Visual Basic .net mit der notwendigen Intelligenz versehen werden. Bestimmte Methoden werden zu bestimmten Ereignissen aufgerufen; beispielsweise WirdMüde() (ja, mit “ü” und deutsch) oder SiehtFeind(ByVal käfer As Käfer). Zur Steuerung steht fast der ganze .net Sprachumfang zur Verfügung, sowie Ameisenspezifische Hilfsmethoden wie etwa GeheZuBau() oder GreifeAn(käfer).

Quickstart

Auf der AntMe Homepage findet man verschiedene Versionen. Wir spielen hier mit der 1.5 Beta 2 (VB.net oder C#, je nach Gusto). Die Profiversion beinhaltet den gesamten Quellcode der Spielengine (!). Das ist so genial, dass es nochmals erwähnt werden darf: Die Profiversion beinhaltet den gesamten Quellcode der Spielengine. Will man sich nur mit den Ameisen beschäftigen, reicht die Einsteigerversion. Im Download enthalten ist ein gut dokumentiertes Ameisenskelett, bei dem sofort losgottgespielt werden kann.
Eine gute Doku über die Klassen und deren Methoden sowie ein Tutorial wird mitgeliefert. Zum Teil beziehen sich die Unterlagen noch auf Version 1.1, aber der Transfer zu 1.5 ist eigentlich kein Problem. Für Leute, die lieber kuckn statt lesen, gibt es gut gemachte Screencasts, die ebenfalls in die Thematik einführen.

Für eher haptisch veranlagte Menschen gibt es auch ein Buch: AntMe! - Programmieren und Spielen mit den Ameisen und Visual C#. Das kenne und besitze ich allerdings (noch) nicht.

Verfügt man noch über keine Programmierumgebung, so könn bei Microsoft gratis die Express Versionen verschiedener Sprachen downgeloaded werden. Für die 3D Visualisierung braucht man
noch DirectX. Mit der neusten Version (nicht mit der im Forum angegebenen) hat es wunderbar gefunzt.

Turniere

Ein Bisschen lebt das Ganze auch vom kompetitiven Element (um ehrlich zu sein, vielleicht ist ein Bisschen etwas untertrieben: ICH FRESS EUCH ALLE AUF!). In der Version 1.5 funktioniert das Importieren von anderen Ameisen leider nicht und es wird eine unbehandelte Ausnahme ausgespuckt:
Der Typ für Member AntMe.SpielKonfiguration.AntMe.Simulation, Version=1.5.0.0, Culture=neutral, PublicKeyToken=37d8e32ef3294969 wurde nicht aufgelöst.

Workaround für die VB-Version (C# ungetestet):
Lesen Sie den Rest des Beitrags »

• 5 Wege für ProgrammiererInnen die Zeit intelligent zu verdödeln
• Avaloqix: Unterhaltsamer Java-Programmierwettbewerb
• Soviel Phun!!!
• eLearning etwas anders…
• Selbst einen Flickr Screensaver in VB.net programmieren
• Office 2007 Wordateien (docx) unter (Debian) Linux mit OpenOffice öffnen
• Croquet: Die Zukunft des eLearning
• Automatisches und mehrfaches submitten von Formularen
• Dynamische Signatur - e-Schrecking für Foren, MySpace, …
• 15 Sekunden Ruhm; Moodle, e-Learning und die Berufsfachschule BBB im Fernsehen

Eingeordnet in Coding, Desktop | 5 Kommentare »

Für eine Applikation, in der man Ressourcen reservieren kann, wollte ich ein Kalender mit verlinkbaren Tagen anzeigen (grad wie im Meeting Room Booking System). Da ich aus dem Alter raus bin, in dem man alles selber machen muss und ausserdem eine PHP-Datumsfunktionsphobie (PHPYpiresiaChronophobia) entwickelt habe, wollte ich eigentlich etwas Fertiges verwenden. Es gibt vorallem Kalender in JavaScript, ein Tutorial das den Kommentaren nach nicht funktioniert (und das mittlerweile vom Web verschwunden ist), Scripts ohne Ausgabebeispiele, Riesenmonster (deren Anwendungsbeispiele mehr Code haben als eine Eigenimplementation) oder Kalender, die zwar gut sind, aber irgendwie nicht gepasst haben (I18n, …). Ich möchte auch nix mit Ajax, Sigolin und Meister Propper, denn es soll eine Enterprise-Applikation geben, und da ist JavaScript halt nicht so opportun (und erspart mir wieder ein paar graue Haare mehr). Aber vor allem (aber das verschweige ich hier) hat das wie eine spannende Aufgabe ausgesehen, und als Kontrollfreak will ich es eben doch selber gemacht haben .

Ziel

Das Ziel ist es einen Kalender zu erhalten, der die Wochen anzeigt, bei dem ein Tag (Event) markiert werden kann und das heutige Datum speziell ausgezeichnet ist. Er sollte also in etwa so aussehen (die Monatsnamen und Namen der Wochentage sollten sich auch noch der Sprache anpassen):

Man sollte entweder ein Monat und ein Jahr übergeben können oder einfach nichts, wobei dann der aktuelle Monat und das aktuelle Jahr verwendet werden.

Vorgehen und Implementation

Ich habe mich entschlossen, dem Enterprisefassadefrontsidedecontrollerkurtmitgurtgimmeabreak-Pattern zu folgen… Quatsch, meine Gewohnheit und die Stimmen in meinem Kopf haben mich dazu gezwungen, den Kalender in zwei verschiedenen Funktionen zu implementieren. PHP hat ein absolut geniales Array-Handling, und wenn ich an solchen datenmanipulierenden Aufgaben arbeite habe ich mir angewöhnt, zuerst die reinen Daten in einem (mehrdimensionalen, ev. assoziativen) Array abzubilden. Dies hat den grossen Vorteil, dass ich die aufbereiteten Daten nicht nur für die HTML-Ausgabe, sondern auch von anderen Funktionen aus benutzen kann. Das Ziel wäre ein Array, dass auf der einen Dimension die Wochen und auf der Anderen die Wochentage hat. Man nehme den ASCIIstift hervor und zeichne ein Beispiel für Juni 2008:

[22] => {   '',   '',   '',   '',   '',   '',  '1'}
[23] => {  '2',  '3',  '4',  '5',  '6',  '7',  '8'}
[24] => {  '8',  '9', '10', '11', '12', '13', '14'}
...
[27] => { '31',   '',   '',   '',   '',   '',   ''}

Die Benamsung ist wie folgt:

Lesen Sie den Rest des Beitrags »

• Dynamische Signatur - e-Schrecking für Foren, MySpace, …
• Ich will sie alle: Informatikzertifikate und -kätchen
• Automatisches und mehrfaches submitten von Formularen
• AIML: Intelligenz im XML
• PHP_SELF ist böse! Potentielles Cross Site Scripting (XSS)!
• Kleine SEO-Tools mit Quelltext in PHP
• Spass und Erleuchtung auf dem XPath
• Active Record Pattern in PHP
• PHP-UWA Widget Library
• Drupal mit neuen Google AdSense Werbeblöcken (Serverbasiert)

Eingeordnet in Theorie und Schnipsel | Keine Kommentare »

Wenn man schon keine eigene Intelligenz besitzt, ist man froh, dass es sie auch in künstlicher Form gibt. Bis vor einiger Zeit wurde ziemlich proprietär rumgewurstelt, aber nun gibt es AIML, die Artificial Intelligence Markup Language die mit XML und Standardisierung das Verwenden unter verschiedenen Plattformen möglich macht. XML und Intelligenz ist also doch nicht per se ein Widerspruch.

Interessant ist das Ziel dieser Bemühungen (wie auf Pandorabots beschrieben):

Inhalte zu erstellen, die den Besucher dazu veranlassen so lange wie möglich mit dem Bot zu reden.

Auf der Basis von AIML wurden verschiedene Interpreter für verschiedene Programmiersprache geschaffen, Inhaltsdateien erstellt, die alle von der offiziellen Homepage oder der Tools Page heruntergeladen werden können.

AIML als XML (Gimme Code!)

AIML ist ziemlich komplex. Es gibt die Möglichkeit einer Unterteilung in Themen, der Extraktion von Mustern, der spezifischen Auswahl der Antworten etc, etc… Die englischen Übersichten und Tutorials gehen tiefer in die Materie.

AIML Tags

Die wichtigsten Tags von AIML:
Lesen Sie den Rest des Beitrags »

• Spass und Erleuchtung auf dem XPath
• Active Record Pattern in PHP
• Observer Pattern in PHP mit der SPL
• Ich will sie alle: Informatikzertifikate und -kätchen
• Automatisches und mehrfaches submitten von Formularen
• Dynamische Signatur - e-Schrecking für Foren, MySpace, …
• Mit PHP einen Monat mit verlinkbaren Daten anzeigen
• PHP_SELF ist böse! Potentielles Cross Site Scripting (XSS)!
• Kleine SEO-Tools mit Quelltext in PHP
• PHP-UWA Widget Library

Eingeordnet in Theorie und Schnipsel | 3 Kommentare »

Ok, wir befinden uns auf der Zattooparty, nachdem wir der absolut genialen Beschilderung - bestehend aus verwirrten Leuten mit Google-Maps Ausdrucken in der Hand - gefolgt sind, haben wir sie gefunden: Die Zattooparty.

Nunja. alle warten… Auf was wohl? Wahrscheinlich die versprochenen Würste. Die Ressourcen (die Location) ist leicht unterdimensioniert. Wenn jeder 10te Schweizer hier auftaucht wird es noch enger.

Es handelt sich wohl um ein verstecktes Fundraising, denn das Bier kostet echt 5 Schtütz! Da bekommt der Ausdruck “Blondes Gold” echt eine neue Bedeutung.

Naja, mal sehen…

Update 19:25: Die Würste sind da und erst noch gratis. Es gebe jemandem dem Pfarrer Sieber Bescheid. Der Senf ist gut aber karg (Meinung von Fabrice de la Croix).

Emma habe ich leider noch nicht gesehen.

Update 19:53: Eine Band spielt. Sehr laut. Wie wäre es mit einer Zattooversion “Ak-hkk sllll-mm thk zn rsss …”? Frage von Fabrice de la Croix: Sendet Zattoo auf klingonisch?

Alle sitzen da, der Senf macht brutal aggressiv und Case fühlt sich trotz iiiiiih-foun 1.0… Er möchte auch bloggen, kann aber nicht, weil er nicht publishen kann mit Safari. Haha, mehr Air denn Fone….

Update 20:46: Die Party nähert sich dem Höhepunkt. Das vierte Bier. Wir haben leider noch kein Abziehbildchen, aber Fabrice de la Croix hat schon mal die Toilette getaggt. Hier ein Foto mit da Maaan der uns ebendieses vierte Bier gebracht hat:

Update 21:08: Bei Case zuhause ist der elektronische Supergau eingetreten und Fabrice de la Croix braucht drei Zellen um sich zu lokalisieren. Was machen Einzeller in dieser Situation?

Fabrice de la Croix kann mit seinem 1-phone (ja, das i ist eigentlich eine 1) Sound aufnehmen. Hier der Beweis: Die Band die hier performt.

Vielleicht wären die Zattooler lieber auf folgendes Angebot eingegangen (kurz danach am Bahnhof Brugg gefunden):

• UWA Widgets coden
• Voting Extrem: Netvoting.com
• Akuma! oder: freie Musik für freie Bürger
• Friendwatch: Web 2.0 und lokalisierte Dienste
• Ein Ajax Baum der sich sein Zustand merkt

Eingeordnet in Weitere Gedanken | 2 Kommentare »

Gedankenspiel

In einem früheren Beitrag habe ich schon mal was über XSS abgesondert. Dort kann man auch Beispiele sehen, die Texte statt Skripts in die fremden Websites einfügen.

Lasst uns ein Gedankenspiel machen:
Kurt hat eine Website (und keinen Gurt, wie Insider wissen ). Kurt möchte einen hohen PageRank, damit er in den Suchmaschinen gut gelistet, gefunden und mit Geld überschüttet wird. Es wird vermutet, dass der PageRank mit der Anzahl und Qualität der Backlinks zusammenhängt. Backlinks sind die Links, die von einer fremden Website auf Kurts Machtwerk zeigen. Kurts Namen ist kurz und seine Geduld ist klein; Er mag nicht warten, bis die Webmaster seine übergenialen Inhalte gefunden und verlinkt haben.

Was würde passieren, wenn ebendieser Kurt XSS Lücken ausnutzen würde? Was, wenn er Links konstruieren würde, die auf fremden Websites Links auf seine eigene Seite darstellen? Was, wenn er diese Links in Foren und anderswo grosszügig streuen würde?
Der Googlebot würde den Links folgen, die Verweise auf Kurts Seite finden und ihn belohnen, oder?

Das Beispiel

Hier ein Beispiel (Screenshot weil der Fehler korrigiert werden könnte).

Natürlich kann man auch andere Dinge ausnutzen um seinen Text dorthin zu kriegen und Opfer mit höherem Pagerank suchen. Aber gerade dieses Formular scheint sehr verbreitet zu sein…

Die Frage bleibt…

Würde das gehen? Hat das schon jemand versucht? Ich bin viel zu lieb solche Dinge in Angriff zu nehmen… LOL

• PHP_SELF ist böse! Potentielles Cross Site Scripting (XSS)!
• Wieviel Wert hat ein Blog bzw eine Website?
• Google AdWords Gutschein: Ätsch, reingelegt
• Kleine SEO-Tools mit Quelltext in PHP
• Google hat mich wieder lieb…
• Spamluders Fave und Bookmarkaktion
• Google AdSense in Feeds mit Feedburner oder: Zu blöd zum Feeden
• Zentrale Synchronisation von Mobile, Kontact, Hirn, …
• Google Text Ads spielen verrückt
• Neue Bücher von oncode.info: STFU und RTFM :)

Eingeordnet in Web | 2 Kommentare »

Die Berufsfachschule BBB ist wirklich ziemlich an vorderster Front was die Umsetzung von e-Learning im Präsenzunterricht angeht. Zum Einen wurde sie von IBM zur besten e-Schule in der Sekundarstufe II ausgezeichnet, zum Andern hat das Magazin Einstein des Schweizer Fernsehens einen kleinen, aber feinen Bericht darüber gedreht, der (oder direkt bei SF DRS) angesehen werden kann

Wer in den verschiedenen Beiträgen meine Fresse erkennt, kriegt drei Vaterunser und Eiswürfel, um sie auf die Augen zu legen .

Aja, den Juniorwebaward 2008 haben wir in unserer Altersklasse auch noch gewonnen…

• SVN und Moodleintegration: Einen Schritt weiter
• SVN mit Moodle integrieren
• LAMS und Moodle, schön wärs gewesen…
• AntMe, Spass mit programmierbaren Ameisen
• Und es geht doch! GTCO Schoolboard unter Linux
• PHP-UWA Widget Library
• Moodle Block Resource-Download
• Lehrstellenanbieter und Lehrstellensuchende mit Lehrstellenboerse.ch zusammenbringen
• eLearning etwas anders…
• Dieses Blog und dessen Schreiberling

Eingeordnet in eLearning | 2 Kommentare »

Was haben wir gelernt?

Ja, uns wurde gelehrt, dass man wenn immer möglich nicht Dateinamen direkt, sondern eine Variable angeben soll, die für den Dateinamen steht. Warum konnte mir zwar noch niemand so genau sagen, aber ich nehme an, dass es darum geht, dass der Dateinamen oder der Pfad ändern könnte. So habe ich ziemlich oft ganz brav geschrieben:

Und (zum Glück) bin ich nicht der Einzige. Eine kleine Suche auf Googles Codesearch hat gezeigt, dass mindestens Mambo, PHPMyFAQ, Einige Wordpressthemes und viele mehr dasselbe Problem haben. Ich bin bei Weitem auch nicht der Erste, der über Probleme mit dieser Technik erfahren und darüber geschrieben hat.

Problem? mit $_SERVER['PHP_SELF']?

Lasst mich ausholen: Der Apache Webserver hat eine Option AcceptPathInfo, welche standardmässig auf On ist. Mit dieser Option mappt der Apache beliebig lange Pfade auf Dateien, sofern diese irgendwie Bestandteil des Pfades sind. Der Rest wird in Umgebungsvariablen mitgegeben.

Gimme Code

Nehmen wir an, es gäbe eine Datei /subdir/mypath.php welche so aussieht:

Bei einem Aufruf von: http://localhost/subdir/mypath.php/additional/stuff/nonsense.php?para=4 mappt Apache netterweise alles auf unsere Datei http://localhost/subdir/mypath.php und verstaut den Rest im $_SERVER Array. Die Ausgabe ist:

REQUEST_URI: /subdir/mypath.php/additional/stuff/nonsense.php?para=4
PHP_SELF:    /subdir/mypath.php/additional/stuff/nonsense.php
SCRIPT_NAME: /subdir/mypath.php

PHP_SELF übernimmt also den ganzen Krempel und würde ihn bei unserem Form auch so darstellen. Angenommen, wir haben ein PHP-Script mit der URL http://localhost/contact/myform.php mit folgendem Inhalt:
<form action=”<?php echo $_SERVER['PHP_SELF']; ?>” method =”post”>

Ruft man dieses nun mit folgender URL auf (die aufwändiger als notwendig konstruiert und des besseren Verständnisses wegen nicht URL-encodiert ist):
http://localhost/contact/myform.php/”></form>Hier ein Javascript: <script>alert(’gotcha’);</script><form action=”/contact/myform.php
erhält man:
<form action=”/”></form>Hier ein Javascript: <script>alert(’gotcha’);</script><form action=”/contact/myform.php” method =”post”>

Also vollkommen gültiges HTML (sogar das Form funktioniert) mit fremdbestimmbaren Seiteninhalt. Das ist ja wohl hässlich…

Theorie! Gib mir Praxis!

Ich weiss nicht, wie lange folgende Links funktionieren, beziehungsweise diese Sites anfällig für diese Art von XSS sind:

Digital Postcard (Kein XSS, aber mein Text ):

Multimediatreff:

Jobs. ch (nicht im Form, dafür mit hohem PageRank):

Was nutzt das dem bösen Hacker?

Text in Fremdpages einbauen, Phishing, Indentitätenklau und noch einiges Weiteres. Ein Folgeartikel wird mindestens eine Anwendung zeigen.

Was tun?

Ganz einfach: Das oft verschmähte $_SERVER['SCRIPT_NAME'] verwenden!!!

BTW: Viele Variablen in $_SERVER sind anfällig, aber alles muss ich ja auch nicht verplappern, oder?

• Black Hat SEO: PageRank und “XSS”
• Automatisches und mehrfaches submitten von Formularen
• Dynamische Signatur - e-Schrecking für Foren, MySpace, …
• UWA Widgets coden
• PHP-UWA Widget Library
• Einfache Animationen auf der Konsole mit PHP (1-Dimensional)
• Erstellen eines Timers in Xoops
• Eine eigene Programmiersprache erschaffen? Lexer und Parser in PHP!
• Moodle Block Resource-Download
• Zipdateien on-the-fly erstellen mit PHP

Eingeordnet in Theorie und Schnipsel | 2 Kommentare »

Die Problemstellung

Nachdem nun einen Asus eee in zum ganzen Blinketeilepark hinzugestossen ist, besitze habe ich mittlerweile ungefähr drei Kontacts und noch einiges mehr an Kleinen Gadgets (zum Beispiel das P910i oder den Stylishen aber batteriehungrigen Clié), die alle Termine, Aufgaben, Adressen und eventuell Notizen und Links verwalten können. Ohne zentrale Lösung würde das System nicht funktionieren und alle Teile wären asynchron und uneinig über das, was ich zu tun hätte. Also muss eine Stelle her, die als Referenz dient.

Lösungsmöglichkeiten

Zuerst drängt sich ja die Übermutterkrake Google mit ihrem Google Calendar auf. Aber dieser hat bis Dato keine Aufgabenverwaltung und die Synchronisierung mit Kontact läuft auch noch nicht richtig.
Eine andere Lösung wäre OpenSync. Diese wäre sehr verlockend (und ist es immernoch), aber nach einem Tag kompillieren, fluchen, jammern und schreien kann ich sagen: es funktioniert nicht. Man kriegt beim besten Willen keine Daten aus dem Kontact (Korganizer) raus. .
Danach habe ich mir überlegt, einen Groupwareserver wie Kolab oder eGroupWare aufzusetzen (beide versprechen was Synciges), aber das wiederum bedeutet auch wieder einen grossen Administrationsaufwand.
Durch verschiedene Hinweise bin ich dann auf MemoToo gestossen. Diese bieten ein Webinterface, SyncML Zugriff und auch noch ein paar andere Möglichkeiten an die Daten zu kommen. Ich habe da was hinbezahlt (denn ich möchte alle Vorteile der kostenpflichtigen Version) und dafür alle meine Daten zentral. Im Grossen und Ganzen funktionierts gut und schnell.
Lesen Sie den Rest des Beitrags »

• Nokia 6230i Handy/Kontact und Multisync/Opensync
• Nokia 6230i/Sony Ericsson W300i Handy mit Linux synchronisieren
• Sony Ericsson P910i über Bluetooth zu Linux mit dem Internet verbinden
• Adressen von Kontact auf das W300i übernehmen
• Viele viele bunte Gadgets: Sony Clié und Bluetooth
• Google AdSense in Feeds mit Feedburner oder: Zu blöd zum Feeden
• Google AdWords Gutschein: Ätsch, reingelegt
• Black Hat SEO: PageRank und “XSS”
• Internet auf dem Stick: MC950D und T@ke Away von Sunrise unter Linux
• Kleine SEO-Tools mit Quelltext in PHP

Eingeordnet in Linux, Mobile | 2 Kommentare »