Alle Beiträge von Konstantin Filtschew

Über Konstantin Filtschew

Building an operation system without source code, is like buying a self assemble space shuttle without instructions. (Author unknown)

Freies Wlan für alle, die sich beteiligen – www.fon.com

Allgemeines, Mobil Unterwegs, Netzwerke(LAN und WLAN)

Das in Spanien gegründete Unternehmen FON bietet die Möglichkeit AccessPoints der Firma zu nutzen indem man sich selbst an dem Netzwerk beteiligt und einen FON-Accesspoint aufstellt.

Dafür kann man sich einen komatiblen AccessPoint kaufen oder aber bei FON direkt bestellen. Als Bedingung ist man nur verpflichtet den AccessPoint an einem Breitband-Anschluss zu betreiben und ihn nicht abzuschalten.

Das Unternehmen wird von Google und Skype gesponsort. Es hat sich als Ziel gesetzt das weltweit größte Netzwerk von Wlan-AccessPoints aufzustellen.

Die Bedingungen sind relativ einfach. Jeder Benutzer, der einen AccessPoint zur Verfügung stellt, kann das weltweite FON-Netzwerk kostenlos nutzen. Für alle Anderen gibt es Tarife für die Nutzung der Infrastruktur.

Man kann auch mit AccessPoints Geld verdienen indem man bei FON auf die freie Nutzung verzichtet und stattdessen 50% der Einnahmen über seinen AccessPoint von FON erhält.

Das Netzwerk ist im Moment relativ klein und wegen der Beschränkung der AccesPoints sehr eingeschränkt.
Doch diesem Problem tritt FON mit gesponsorten AccessPoints für 5,80 Euro entgegen. In dem Preis ist bereits der Versand des AccessPoints enthalten. Auf diese Weise will FON eine Million solcher AccessPoints weltweit aufstellen.

Die verfügbaren AccessPoints sind über die FON-Seite abrufbar und mit Hilfe von Google Maps sehr einfach aufzufinden. Der einzige Nachteil dieser Lösung ist die fehlende Verschlüsselung. Diese muss man sich z.B. mit Hilfe von VPN selber schaffen.

Da mir die Idee gefällt und ich mir später die Nutzung solcher AccessPoints gut vorstellen könnte, steige ich da mit ein und stelle einen AccessPoint in Darmstadt und einen in Limburg an der Lahn auf.

Wenn jemand ebenfalls daran interessiert ist mitzumachen, der sollte sich unverbindlich anmelden und auch einen Zugang zur Verfügung stellen!

Quellen und weitere Inforamtionen

Linux Kernel 2.6.17 erschienen

Linux, OpenSource Software

Am heuten Tag ist eine neue Version des Linux Kernel 2.6.17 erschienen.

Diese bringt wichtige Erweiterungen für das Software-Raid-5-Array um die Möglichkeit zusätzliche Datenträger im laufenden Betrieb zu dem Array aufzunehmen.

Viele Treiber für Netzwerk-, DVB- und Audio-Hardware haben wichtige Aktualisierungen erfahren. Zu der wichtigesten Neuerung zählt für mich die aktualisierte Version des ipw2200 Treibers für Intel-Funktneztwerkkarten. Allerdings sollte man sich vorher die Version 3.0 der Intel Firmware runterladen, um die Treiber benutzen zu können.

Quellen und weitere Informationen:

Regular Expressions stellen unter PHP eine Sicherheitsgefährung dar

OpenSource Software, Sicherheit

Viele Entwickler benutzen Regular Expressions um Eingaben zu validieren oder Inhalte auf ihre Korrektheit zu prüfen.

Die von RedTeam Pentesting gefundene Sicherheitslücke in der PHP-Funktion eregi() stellt eine besondere Gefahr dar. Die Funktion ist in der Programmiersprache C programmiert und erkennt das Null-Terminierungszeichen „\0“ als Ende des Strings. Laut RedTeam Pentesting werden alle Zeichen nach dem Null-Terminierungszeichen nicht mehr beachtet und damit nicht validiert.

Das Beispiel in dem Heise-Newsticker verdeutlicht das Problem: Heise-Newsticker Meldung

Das Verhalten der eregi() Funktion ist keine neue Erkenntnis, sondern schon lange bekannt. Der älteste Bugtraq Eintrag zu dieser Funktion datiert auf das Jahr 2002. Die Antwort zu diesem Problem war ein simpler Eintrag: „Eregi ist nicht binary safe“. Das bedeutet man kann Überprüfungen mit dieser Funktion ganz einfach umgehen indem man ein Null-Terminierungszeichen einfügt und die weiteren Inhalte ohne Validierung übergibt.

Das größere Problem ist, dass sich kaum ein Programmierer die vollständige Dokumentation zu dieser Funktion durchliest und damit nicht weiß, dass die Funktion gefährlich ist!

Das Problem kann man mit Magic Quotes umgehen, die Sonderzeichen wie ‚, „, \ und NULL in einer Zeichenkette automatisch einen Backslash(\) voranstellt. Eine Saubere Lösung wäre aber der Einsatz der Perl-Syntax-kompatiblen preg_*-Funktion.

Quellen und Informationen:

Wlan Router für den „speziellen“ Einsatz

Allgemeines

Nachdem mir meine Linksys WRT54G Router ausgegangen sind, ist eine neue Version von DD-WRT erschienen, die vielle tolle Verbesserungen für Router mitbringt.

Besonders Funktionen wie das Sperren von Peer-To-Peer Möglichkeiten, VPN und vieles mehr erlauben aus einem recht günstigen Router, ein allround Werkzeug für Routing und Funknetzwerke zu erstellen. Die beachtliche Hardware Leistung der Linksys Wlan Router WRT54G bis zur Version 4.1 mit Linux als Betriebssystem haben vielen Leuten ermöglicht sehr flexibele und günstige Netzwerke zu bauen, die normalerweise nur mit Hardware von mehreren Tausend Euro und hohem Schulungsaufwand möglich wären.

Großen Lob an die Entwickler und große Kritik an Linksys für VxWorks als Betriebssystem und dem eingeschränkten Speicher bei den neuen Modellen!

Links:

WordPress 2.0.3 behebt Fehler und vor allem Sicherheitsfehler

OpenSource Software, Sicherheit

Heute habe ich die Aktualisierung auf WordPress 2.0.3 gewagt und siehe da – der Blog funktioniert noch. Ich bedanke mich wie immer bei den Entwicklern für die hervorragende Arbeit und diese super Webapplikation, die mir sehr viel Spass macht, weiter so!

Weitere Informationen:

„Oracles CSO genervt von Patch-Mentalität“

Allgemeines, Sicherheit

Also ich muss sagen, dass die Patch Mentalität vieler großer Unternehmen mich ebenfalls sehr stört. Für die Administratoren kommen riesige Berge von Arbeit und Behebung von Fehler, die die Patches verursachen.
Besonders Inkompatibilitäten durch Patches von Microsoft kommen immer wieder zu Tage, die durch die fehlende Modularität in diesem Betriebssystem immer sehr weitreichende Folgen auf andere Teile des Betriebssystems haben.

Allerdings finde ich die Pacht-Mentalität von Oracle noch verkehrter. Datenbanken sind die wichtigsten Träger von Daten in allen heutigen Unternehmen und Diese erfordern besonders hohen Schutz und müssen deswegen so sicher wie möglich sein!
Oracle stellt sich als Datenbank Spezialist dar, aber bringt nur vierteljährlich Patches für die Datenbank heraus. So sind die Adminstratoren bis zu 3 Monate den Sicherheitsfehlern ausgeliefert.
Allerdings wären die 3 Monate ja was, wenn wirkliche alle Fehler und Sicherheitspatches bis zum nächsten Termin behoben wären, was besonders bei Oracle nicht so genau genommen wird, wie es auf der Seite http://www.red-database-security.com/ berichtet wurde.

Ich bin der Meinung man sollte jede Aussage erst überdenken und dann laut aussprechen, vielleicht schießt man sich damit selber ins Bein 😉

Informationen zu Oracle:

FreeBSD 6.1 erschienen

FreeBSD/NetBSD/OpenBSD

Mit der neuen FreeBSD Version wurden vor allem die SMP-Fähigkeiten von FreeBSD erweitert, da die Komponenten des Kernels von FreeBSD noch immer nicht alle vollständig SMP fähig sind.
Außer ein paar Neuerungen in Software Paketen, wurde vor allem Wert auf Leistungsfähigkeit, Stabilität und auf Qualität Wert gelegt.

Seit dieser Version besteht das erste Mal die Möglichkeit beim Installieren einen vorkompelierten SMP-Kernel zu installieren. In den vorhergehenden Versionen musste man sich einen eigenen SMP-Kernel kompelieren.

FreeBSD ist ein alternatives Betriebssystem, dass auf dem BSDLite 4.4.

FreeBSD stellt eine gute Alternative zu Linux dar, wenn es auch noch immer nicht so modular und leistungsfähig wie Linux ist. Vor allem die Unterstützung von Java und propriäterer Software sind bei allen BSD derivaten sehr schwach.
Auch die Treiber stellen noch bei vieler Hardware im Vergleich zu Linux, einige Hürden dar.
Der geschlossene Entwicklerkreis und die fehlende Modularität hemmen die Entwicklung von FreeBSD.
Der große Vorteil von BSD gegenüber Linux sind die fehlenden dutzend Distributoren, die die Paketauswahl erheblich erschweren und durch eigene Pakete sich inkompatibel zu anderen Linuxdistributionen machen. FreeBSD wird unter einem Namen entwickelt und gepflegt. Jedes Paket, das für FreeBSD erstellt wurde, wird auch unter der vorgegebenen Version laufen.
Auch die Release Zyklen bei FreeBSD gefallen mir persöhnlich mehr wie bei Linux, da hier in regelmäßigen Abständen neue Versionen des Betriebssystems erscheinen und alte Versionen sehr sehr lange gepflegt werden, was für Server Betrieb einen sehr großen Vorteil darstellt.

Zu der Lizenz Politik will ich mich nicht groß äußern. Die FreeBSD und die GPL haben ihre Vorteile. Code, der unter GPL veröffentlich wurde oder GPL Code benutzt, muss auch ebenfalls unter GPL und damit für alle verfügbar gemacht werden. Die FreeBSD Lizenz erlaubt Software zu veröffentlichen, die auf FreeBSD Code basiert und verpflichtet nicht den Entwickler den Code zu veröffentlichen. Zu diesem Thema soll sich jeder seine eigene Meinung bilden. 😉

Viel Spass für alle, die FreeBSD ausprobieren wollen, das ist es Wert!!!

PHP Version 5.1.4 behebt fehler

OpenSource Software

Einfach ohne großer Kommentare: http://bugs.php.net/bug.php?id=37276

Wer die Version 5.1.3 eingespielt hat, der sollte auf die Version 5.1.4 aktualisieren, da in der Version 5.1.3 ein Fehler in der Array Behandlung der $_POST Variable existiert.

Auf der aktuellen PHP Download Seite ist noch keine aktuelle Version verlinkt, was aber bestimmt folgen wird. Eine aktualisierte Version liegt auf den Mirror Servern.

Viel Spaß beim Aktualisieren:
http://de2.php.net/get/php-5.1.4.tar.gz/from/a/mirror