Ubuntu 8.04 – Cinergy DT USB XS

Mann kan sagen, was man will, aber das Teil funktioniert einfach. (Bei mir ohne Installation von irgendwelchen treibern / Firmware)

Top!

Scalix – Active Sync

Es gibt so Sachen, bei denen wartet man auf die Verfügbarkeit wie auf Godot.

Das Active Sync Plugin von Scalix gehört auch dazu.

Mir geht es ehrlich gesagt ziemlich auf den Keks, dass das Teil immer noch nicht erschienen ist. Auf der CeBIThatte man mir gesagt, dass das Produkt so gegen Ende Q2/2008 herauskommt.

Jetzt ist es Mitte Q3/2008.

Mal abgesehen davon, dass ich wegen des fehlenden ActiveSync Supports an einigen Stellen jetzt Exchange einsetzten musste, will ich das Teil jetzt endlich haben.

Wenigstens eine Public Beta ist ja wohl nicht zu viel verlangt.

Megaupload, Rapidshare und co.

Ich frage mich gerade warum es noch keinen Anbieter gibt der einem einen Zugang zu allen diesen Diensten anbietet.

Quasi eine Art Cashgroup für 1-Click-Hoster.

Ich stelle mir das so vor, dass man bei diesem Anbieter einen Account hat und mit diesem dann bei allen Seiten Zugriff bekommt.

Momentan hat man irgendwie nur die Wahl bei allen (großen) Hostern einen Account (was wohl die wenigsten tun werden) zu haben oder man befindet sich in der Situation evtl. aufs falsche Pferd gesetzt zu haben.

Ich kann mir irgendwie vorstellen, dass das einige potenzielle Kunden davon abhalten könnte.

I told you so

Ich finde die Kunst des ‘Hab ich doch gesagt’-Sagens  ist vollkommen in Vergessenheit geraten.

Es gibt doch nichts schöneres, als wenn man sagen kann ‘Hab ich doch gesagt!’

Diese Genugtuung die man dadurch erhält ist einfach unbeschreiblich.

Beispiel Datenschutz: Da warnt man jahrelang vorm orwelschen Staat und wird für paranoid / verrückt erklärt. Jetzt kommen sie auf einmal an und sagen Sätze wie, ‘Also das mit den Mautdaten hätte ja keiner gedacht.’ / ‘Naja, mein Bewegungsprofil darf keiner kennen.’ / etc. Es ist einfach ein unvergleichbares Gefühl zu sagen, ‘Hab ich doch gesagt! Du Arsch, seit x Jahren sag ich das, jetzt siehst Du was Ihr davon habt.‘

Ich finde es sollte öffentlich akzeptiert sein sich einfach hinzustellen und zu sagen, ‘Ja, das mit dem Klimawandel haben wir euch doch schon gesagt. Ihr wolltet es ja vor 30 Jahren nicht glauben. Ihr Penner‘

Und man sollte das solange wiederholen dürfen bis alle die jemals was dagegen gesagt haben sich mit den Worten ‘Ja Du hattest Recht, Ich Unrecht. Ich war ein naiver Knilch.’ entschuldigt (mit Kniefall!) haben.

Oder es sollte einem wenigstens das zugestanden werden:

Kabeldeutschland

Liebe Kabeldeutschland Vertriebler,

Ihr schickt mir einmal im Monat euren tolle Werbung für euren Internetanschluss. Das finde ich ja auch wirklich praktisch und informativ, denn es ist wohl unwahrscheinlich, dass ich euer Angebot beim ersten, zweiten und dritten mal zur Kentniss genommen haben könnte.

Auch wenn ich zu euch wechseln wollte (Wobei das einzig interssante Produkt der 30 Mbit Anschluss von Euch ist, der allerdings überhaupt nicht beworben wird. ) könnte ich es momentan nicht. Denn bei meinem aktuellen ISP läuft mein Vertrag noch (eine Weile).

Ich habe also einen Vorschlag. Ihr hört auf Monat für Monat mir den selben dämlichen Brief zu schicken, (der eh in Ablage P wandert) löst mich bei meinem aktuellen Provider aus und ich werde bei euch Kunde. Deal?

XSS bei lovefilm.de

Hm.. Amazon hat ja bekanntlich ihren DVD-Verleih an Lovefilm verhökert verscherbelt verkauft.

Aber, bevor man seine Daten einer neuen Firma anvertraut, sollte man sich ja die Seite zumindest mal anschauen.

Eigentlich wollte ich mir nur die Datenschutzbestimmungen durchlesen, aber beim surfen auf der Seite ist mir doch glatt folgender URL-Teil ins Auge gefallen:

Auffällige Parameter

Da so was meine Neugierde weckt, hab ich einfach mal das altbekannte
<script>alert(„XSS“)</script>
eingefügt. Und siehe da:

xss

Ich denke lovefilm sollte da an der einen oder anderen Stelle mal nachbessern.
Traurigerweise scheint in diesem Seitenmodul keine der übergebenen Variablen überprüft zu werden.

Ob sich dahinter auch noch eine SQL-Injection Lücke verbirgt habe ich jetzt mal nicht überprüft. Ich vermute es aber. (Reines Bauchgefühl!)

Abgesehen davon, ist so ein HTML-Code ja ein zum Haare raufen:

<a … title=“DVDs“>Filmübersicht</a>

Wenn ich jetzt noch eine Mail-Adresse von denen finden würde, könnte ich die Firma sogar benachrichtigen.

Ah, gefunden! (service@lovefilm.de)

So viel zu Spielereien am frühen morgen.

Ach und bevor sich jetzt wieder irgendjemand aufregt:

Ja ich weiß, dass das nur rumspielen ist kein „hacking“. Nein, ich habe nichts verändert. Ja, jeder Mensch mit einer Tastatur kann das auch. …

Die gleiche Lücke findet sich auch auf lovefilm.com (und anderen Seiten die dynamic_node_id in der URL haben.)

Steuerklasse

Hmm..

Folgender Merkspruch hilft in solchen Fällen:

Merke, wenn man keine Ahnung hat, welche Steuerklasse man hat, hat man Klasse I

Asterisk

Hmm.. gerade mal mit Asterisk rumgespielt.  Schon ein feines Stück Software.

Ein recht brauchbaren Schnelleinstieg findet man hier.

Leute die eine Fritzbox ihr eigen nennen können sogar mit relativ simplen Mitteln ihre existierenden Geräte an mit der Asterisk verknüpfen. (Man hängt die Fritzbox einfach als SIP-Client an die Asterisk ran.)

Truecrypt 6 erschienen

Mittlerweile ist Truecrypt 6 erschienen.

Die neue Version bringt unter anderem folgende Neuerungen:

• Paralellisierung der Entschlüsselung/Verschlüsselung. Das bedeutet Truecrypt kann jetzt auf multicore-CPUs schneller arbeiten.
  Den Benchmark von Truecrypt.org, kann ich selber bestätigen (TC 5.1 vs TC 6 [Auf einem Intel Q6600 @ 2,4 Ghz])
  Diese Verbesserung wird man allerdings nur spüren, wenn man mehrere Ver-/Entschlüsselungsvorgänge hat. Einige schnelle Tests haben gezeigt, das (wie zu erwarten) einzelne Schreibvorgänge (zumindest bei mir) nicht schneller geworden sind:

  Ein time head -c 100M /dev/zero > /cygdrive/d/out.tmp hat bei mir folgendes ergeben (WIndows mit Twofish-Verschlüsselung):
  TC5.1: Rund 1,7 Sekunden Durchlaufzeit.
  TC6.0: Rund 2,1 Sekunden Durchlaufzeit.

  Das kann allerdings an allem möglichen liegen, daher würde ich jetzt an eurer Stelle in das etwas langsamere Ergebnis von TC6 nicht allzuviel hinein interpretieren.
  Da mein System eh schon schneller(schon unter TC5.1) ver-/entschlüsselt, als die Platten Daten liefern, kann ich das nicht wirklich testen.

• Unterstützung von verstecken Systemen. Der neue bootloader kann jetzt auch Systempartitionen aus „hidden Volumes“ laden.
  Das ermöglicht erstmal echte „Plausible Deniability„. In Zukunft wird man dann also bei Grenzkontrollen sein Dummysystem laden, den Grenzer darauf alles kontrollieren lassen und hat die wichtigen Daten in einem sicheren Versteck und was viel wichtiger ist, man kann abstreiten ein anderes System installiert zu haben.
• Für Vista und Windows 2008, werden jetzt bei der Systemverschlüsselung auch erweiterten Partitionen unterstützt.
• Ein neues Volume Format, das einen zweiten Volume-Header am Ende des Volumes (in diesem Fall eher Footer ) speichert. Somit kann im Fall einer Korumpierung des Headers, evtl. trotzdem eine Wiederherstellung erfolgen.
• Linux und MacOSX können jetzt auch „hidden Volumes“ erstellen.

Alles in allem ein rundes Release, von den Jungs von Truecrypt.

Anwender von TCGINA sollten beachten, dass TCGINA mit der neuen Version (noch) nicht funktioniert.

VMware Server 2.0 Release Candidate erschienen

Der erste Release Candidate des (kostenfreien) VMware Servers 2.0 ist erschienen.

http://www.vmware.com/beta/server/download.html

Nachdem ich nun die Beta-Version einige Zeit im Produktivbetrieb hatte, habe ich jetzt mal ein Upgrade auf die neue Version gemacht.

Das Upgrade selbst verlief ereignisslos und lief mit einem 2.6.25er Kernel ohne Fehlermeldung durch.

Mal schauen, wie sich die neue Version im Einsatz macht.

Laut golem soll die finale (und auch kostenfreie) Version noch in diesem Jahr erscheinen.