Wann koppelt ihr euren MP3 Downloadstore mal mit Rhapsody und Last.fm und setzt dann eine ordentliche voll WebZWONullige Suche darüber?
Wäre mal genial.
Archiv für die Kategorie ‘WWW’
Hey Amazon!
von Khark am 30. September 2009 um 00:55 UhrPhishing – The next generation
von Khark am 27. März 2009 um 01:01 UhrAlso ich werde mir dann mal einen kleinen Bot schreiben, der sämtliche Banken-Domains die vom Namen her ein Sonderzeichen enthalten könnten (also sowas wie ue, ae, ss, etc.) und ein kleines “l” im Namen haben, sammelt.
Die entsprechenden Domains werde ich mir dann sichern, wobei ich nur das kleine “L” durch ein großes “i” ersetze.
Für Otto-Normalanwendern garantiert nicht zu unterscheiden.
Wer nicht weiß was gemeint ist:
Mit dem nächsten DNS-Standard soll wohl bei Domains mit Umlauten zwischen Groß- und Kleinschreibung entschieden werden.
Jetzt nehmen wir mal z.B. die Volksbank. Geradezu prädestiniert, da im Domainnamen garantiert immer ein kleines “L” enthalten ist.
Der Einfachheit halber nehmen wir mal: www.volksbank-muenster.de.
Ich würde mir jetzt die Domain www.voIksbank-münster.de bestellen und darunter meine Phishingseite aufziehen.
Was meint ihr wem das auffällt wenn die Leute schon auf so Seiten wie z.B. http://onlbng.volksbank-muenster.de.cn gehen um ihr Online-Banking zu machen?
Man man man.. Die IETF sollte über Case-Sensitive Domainnamen lieber nochmal nachdenken…
Sämtliche PC-Nutzer wurden seit Jahrzehnten darauf getrimmt einfach nur den Namen einzutippen und bei Online-Banking und Co. auf dem Domainnamen zu achten. Und jetzt plötzlich soll man den allen dann verklickern das sie auch bei Domains mit Sonderzeichen zusätzlich auf die Groß- und Kleinschreibung achten sollen? Und zwar nur da, weil überall anders ist das egal und somit ungefährlich? Ich kenne Bücher über DNS da wird noch nichtmal überhaupt erwähnt das es egal ist ob man die Domainnamen jetzt groß oder klein schreibt. Es weiß einfach sprichwörtlich jeder..
- Viel Spass liebe Phisher. Ihr habt es euch verdient. Solltet ihr diese Idee aufgreifen beteiligt mich bitte an den Einnahmen.
Siehe: http://www.heise.de/newsticker/meldung/135238
EDIT:
Uh.. Ich hab grad eine Sonderzeichentabelle bei der DeNIC gefunden. Und wenn ich mir so den “Kleinen lateinischen Buchstaben i ohne Punkt” (Unicode V3.2: 0×0131) angucke.. Ja.. Mein System ist noch massig ausbaufähig.
EDIT 2:
Auch schön: Der Beitrag von fh.
Mein Bild schlägt deins
von Khark am 22. März 2009 um 21:03 UhrImmer wenn man denkt man kennt alles was Internetkultur & Co. angeht gibt es irgendwas neues.
Diesmal das lustig, heitere Forenspiel: Mein Bild schlägt deins.
Gefunden im BattleForge Beta Forum.
Ich finds witzig :)
Domainabschaltungen
von Khark am 22. März 2009 um 02:09 UhrDie Domains amish-people.net und amish-geeks.net werden bald gekündigt.
Daher ist dieses Blog dann nur noch über amish-geeks.de erreichbar.
Wer noch Mailadressen unter den oben genannten Domains hat: Diese sind dann ebenfalls nicht mehr nutzbar.
Optimiert für Google Chrome
von Khark am 29. Dezember 2008 um 00:25 UhrHinweis:
Sie versuchen die Seite einem veralteten Browser zu betreten. Leider ist diese Seite nicht für diesen Browser optimiert.
Dies kann zu Darstellungsfehlern, Fehlfunktionen und Geschwindigkeitseinbrüchen führen.Wir empfehlen daher Goole Chrome zu verwenden um unsere in vollen Zügen nutzen zu können.
Der genutzte Browser war Firefox 3.0.5.
“Optimiert für Google Chrome” ist jetzt das neue “Optimiert für den IE”?
CCC-TV: Streaming Portal des CCC Köln
von Khark am 17. Dezember 2008 um 21:36 UhrEben erst entdeckt..
Unter http://media.koeln.ccc.de/ findet man ein Web2.0 Streaming Portal des CCC Köln.
Dort finden sich Congress-/Campvideos und Videos zu anderen Aktionen.
Sehr empfehlenswert für alle denen jetzt vorm nächsten Congress einfällt das man ja noch einen Vortrag vom letzten Jahr gucken wollte.
Neuer GPG-Key
von Khark am 27. November 2008 um 00:05 UhrIch habe einen neuen GPG-Key.
Die ID ist: 0xB7849C76
Bitte nutzt nur noch diesen um mit mir zu kommunizieren.
Falls er sich bei den üblichen Keyservern (pool.sks-keyservers.net oder pgp.mit.edu) noch nicht rumgesprochen hat, findet man ihn nochmal unter folgender URL:
https://brennt.net/0xB7849C76_pub.asc
Nagios R2-D2 Roboter
von Khark am 24. Juni 2008 um 15:14 UhrCooooool. Ein R2-D2 der automatisch die Nagios-Meldung an die Wand projektiert.
WebShops und Newsletter
von Khark am 24. Juni 2008 um 13:46 UhrIst es eigentlich so scheiße schwierig ein Newslettermodul für WebShops zu schreiben, das einem nicht jeden Monat erneut Mails schickt, obwohl man jedesmal auf “Vom Newsletter abmelden” klickt und seine E-Mail nochmal zusätzlich im dafür vorgesehenen Formular auf der Homepage einträgt?
Ist es echt so dermaßen Problematisch die Daten konsistent zu halten?
Eben habe ich es wieder versucht und dann kam die tolle Mail “Es liegen leider keine Daten über eine Newsletter-Registrierung vor.”
Wieso zum Teufel bekomme ich dann eine Mail? *gnarf*
IBM Linux Dokumentationen
von Khark am 24. Juni 2008 um 12:57 UhrWer Sie noch nicht kennt kann bestimmt noch etwas von Ihnen lernen.
Die, meiner Meinung nach, Interesantesten habe ich mal rausgesucht.
Am genialsten ist wohl noch Whistle while you work to run commands on your computer das beschreibt wie man sich eine Sprachkommando-Erkennung selbst baut :)
IBM “Anatomy of” Texte, “System Administration Toolkit” Artikel und andere Linux Dokumentationen:
- Tuning LAMP systems, Part 1: Understanding the LAMP architecture
- Tuning LAMP systems, Part 2: Optimizing Apache and PHP
- Tuning LAMP systems, Part 3: Tuning your MySQL server
- Improve LAMP security with Apache Proxy’s directive (mod_proxy)
- Lightweight Web servers
Hat er wirklich recht? :-)
von Khark am 9. Juni 2008 um 19:45 UhrLieblingsgeek 2: Das Anwälte für’n Arsch sind, sieht man schon daran das das englische Akronym für “Ich bin kein Jurist” IANAL ist.
Kettenbriefe…
von Khark am 9. Juni 2008 um 19:26 UhrWann sterbe ich eigentlich endlich einen langsamen, qualvollen Tod, weil ich Kettenbriefe nicht weiterleite?
Auf meinen kleinen Hinweis auf die Hoax Infoseite der TU-Berlin und der Info, das dieses kleine Mädchen das so dringend eine Knochenmarkspende benötigt, schon seid 5 Jahren tod ist, kam nur ein: Nur du bist so ignorant!
Lieber ignorant als einer dieser Kettenbriefzombies zu sein…
StudiVZ
von MichiK am 9. Juni 2008 um 06:53 UhrJa, ein unangenehmes Thema, glaube ich. Man kann von dem Laden halten, was man will. Manche verteufeln es, andere könnten nicht mehr ohne leben. Mir haben einige Leute angekreidet, dass ich einen Account dort hatte, ich selbst habe mich auch schon lange gefragt, warum ich überhaupt einen habe. Nun habe ich vor einer Woche mal das getan, was schon längst überfällig war: Ich habe meinen Account gelöscht. Dann war ich gespannt, was passieren würde, doch irgendwie bin ich enttäuscht. Es ist nichts passiert. Niemand hat etwas gesagt, niemand hat sich gewundert.
Hat es tatsächlich noch niemand gemerkt oder sind wir schon so weit, dass man in der Realität zur Unperson wird, wenn man sein virtuelles alter ego vernichtet? Wie auch immer. Man muss vielleicht dazu sagen, dass ich dort Mitglied geworden bin, als das ganze noch cool und neu war, irgendwann Anfang 2006. Außerdem hat eine Frau gemeint “meld dich da mal an,” also habe ich es natürlich gemacht. Damals war es wirklich noch cool. Man konnte Gruppen der Sorte Abitur $jahrgang an $schule oder Grundschule $dorf gründen und war damit tatsächlich noch der erste. Und niemand wusste, dass es ein Gruppenlimit gibt, weil ja niemand auf die Idee kam, überhaupt in so vielen Gruppen zu sein.
Irgendwann habe ich dann gemerkt, dass ich zwei Typen von “Freunden” dort hatte. Mit den einen kommunizierte ich auf anderen Wegen, mit den anderen überhaupt nicht. Folgerichtig hab ich in den mehr als zwei Jahren vielleicht ein dutzend Nachrichten verschickt. Ich habe auch lediglich zu einer einzigen Person, die ich aus den Augen verloren hatte, den Kontakt wieder hergestellt und auch dafür, hätte ich das StudiVZ nicht bemühen müssen. Ich hätte nur eine Telefonnummer wählen müssen, die ganze vier Ziffern lang ist und die ich wohl nie vergessen werde, da sie vermutlich die erste Telefonnummer ist, die ich überhaupt auswendig gelernt habe, seitdem ich irgendwann vor ca. 20 Jahren in der Lage war, ein Telefon bedienen. Aber mal eben klicken fällt natürlich leichter als ein Telefongespräch.
Ich bin jedenfalls gespannt, ob nochmal irgendwer was merkt. Wenn auch in vier Wochen noch niemandem etwas aufgefallen ist, würde mich das zwar wundern, aber andererseits auch nur in meiner These bestärken, dass der ganze Kram vollkommen unsinnig war.
Link der Stunde
von Khark am 15. März 2008 um 18:17 Uhrhttp://fernsehkritik.tv/tvmagazin.html
Habe ich eben kennengelernt. Dort wird Deutschlands Fernsehwahn mal mit treffenden Worten analysiert und kritisiert. Insbesondere Folge 10 ist zu empfehlen.
(Ok.. Ich kenne bisher nur Folge 10. Aber eine Empfehlung auszusprechen erweckt doch den Eindruck ich hätte einen umfassenden Überblick, oder? :-) )
VoIP + Berufsschule + PHP + All-Inkl = Witzig
von Khark am 26. Februar 2008 um 15:01 UhrHeute war ein richtig witziger Tag aus IT-Sicht in der Berufsschule.
Teil: VoIP+Berufsschule
In den ersten 3 Stunden hatten wir Lernfeld 9 Öffentliche Netze und Dienste. Dort machen wir z.Z. Voice over IP (VoIP). Nun hat sich unser Lehrer mal ein praktische Übung ausgedacht.
Wir bildeten Gruppen und jede Gruppe bekam ein SIP-Telefon und einen Laptop zur Konfiguration des selben (Webinterface). So waren also 6 Gruppen am basteln und irgendwann klingelte auch jedes Telefon wenn es angerufen wurde.
Bis dann ein Lehrer in die Klasse kam, den ich noch nie gesehen habe (Gerüchteweise soll er Biologie und Chemie unterrichten – das würde erklären wieso ich ihn auch zu Fachgymnasium-Zeiten nie gesehen habe). Er stand dort 5 Sekunden, schaute in die Klasse und verkündete dann gegenüber unserem Lehrer: “Ihr schießt das Schulnetz ab. Nichts geht mehr.”
In diesem Moment musste ich spontan lachen. Irgendwie war mir schleierhaft, wie man mit 6 VoIP-Telefon und Laptops ein ganzes Netzwerk abschießen kann. (Zumindest wenn dort keine bösen Tools installiert hat.) Besonders wo uns unser Lehrer vorher noch erzählt hatte, das er extra beim Admin IP-Adressenreservierungen im DHCP-Server für die MAC-Adressen der Telefone und Laptops hat anlegen lassen.
Eben damit diese in einem eigenen Netz sind.
Unser Lehrer und der Admin sprachen dann miteinander im Raum nebenan. 3 Minuten später kam er zurück und sagte uns: “Der Admin setzt das Netzwerk jetzt neu auf. Wir bauen dann mal alles ab und machen die Kisten aus.”
Und wieder was über Netzwerke gelernt :-)
Teil: PHP + All-Inkl
Ich habe hier bestimmt schon ab und zu erwähnt, das unserer Lehrer vor Jahren ein Forum für alle Schüler und Auszubildenden der IT-Klassen/-Berufe eingerichtet hat.
Es ist ein Woltlab Burning Board steinalter Version auf Webspace von All-Inkl.
Nun hat dieser Lehrer bei seinem Hoster ein größeres Hostingpaket geordert. Also zieht er auf einen neuen Server, wie das bei Webhostern so üblich ist.
Dies hatte zur Folge, dass das Forum erstmal ein paar Tage down war. Mal wurde die Datenbank nicht gefunden, dann nicht das Verzeichnis auf dem Server, usw.
Aber heute hat All-Inkl den Vogel abgeschossen. Ein Mitschüler wollte in das Forum. Statt eines Fehlers oder der Indexseite sah er den PHP-Code in Klartext.
Also flucks durch die include()-Anweisungen gehangelt und Bingo. In der _data.inc.php stand der MySQL-User und das Passwort.
Gut, das allein bringt einen nicht viel weiter mag derjenige sagen, der sich mit der Materie auskennt.
Tja, nicht so bei All-Inkl. PHPMyAdmin mit .htaccess gesicht? Nee, soweit ist man dort noch nicht. All-Inkl gibt seinen Kunden direkten Zugriff auf den MySQL-Dienst über den TCP-Port 3306 (Standardport).
Ich weiß das, weil ich dort um 2000 herum selber Kunde war. Leider hatte mich damals All-Inkl nicht informiert das deren Server von einer brasilianischen Crackergruppe übernommen wurden. Das war es dann auch schon mit dem Vertrauen und der Kundenbeziehung.
Also holt man sich ein OK vom derzeitigen Lehrer, das man die Klasse verlassen darf um den besagten Lehrer zu benachrichtigen.
Das Kommentar des Lehrers als ihm offenbarte das sein Webspace quasi schutzlos ist: “Die Spaten bekommen auch nichts hin. Seit 4 Tagen werd ich von Server zu Server geschoben und nichts geht.”
Das witzige an der ganzen Sache?
http://tolle-seite.de/phpinfo.php klappte wunderbar. Man bekommt den vertrauten Output von phpinfo() zu sehen.
http://tolle-seite.de/forum/main.php geht hingegen nicht.
Ich habe ja erst drauf getippt, das in der php.ini die Direktive short_open_tag=Off steht. Weil Woltlab seinen PHP-Code mit <? beginnt und nicht mit <?php. (Ist das immer noch so?) Das kann dann etwas katastrophal werden in solchen Situationen.
Aber laut phpinfo() war short_open_tag=On.
Wo der eigentliche Fehler lag versuche ich nochmal herauszufinden. Interessiert mich mal mit welchen Konfigurationsproblemen große Hoster so zu kämpfen haben.
Ich bedanken mich im Namen aller Schüler und Auszubildenden der BBS2 Wolfsburg bei All-Inkl, das unsere privaten Daten (das Forum ist NICHT öffentlich) für jeden frei zugänglich waren.
Mittlerweile geht es ja wieder..
Richtig interessant wird die Sache an folgender Stelle: Dieser Lehrer hat eine in PHP geschriebene, sagen wir mal, “Schülerecke”. Dort findet man den Stunden-/Blockplan, Übungsaufgaben, Links, die Adressliste der Klasse (!!) und die Noten seiner Klassenarbeiten.
So wie ich ihn jetzt kenne und der Name der Datenbank lautete bin ich mir verdammt sicher das, wenn man die DB gedumpt hätte, man diese Daten auch mitgezogen hätte.
- Super.
Mich interessiert jetzt nur noch folgendes:
a) Was war der Konfigurationsfehler?
b) Wird der Lehrer von sich aus sagen, das die Leute mal ihr Passwort ändern sollen?
c) Bei wie vielen Leuten ist Forumpasswort = Mailpasswort (natürlich bei der Mailadresse mit der man sich registriert hat).
Erfahrungswert: Deutlich über 80%
d) Wie viele ändern tatsächlich ihr Passwort?
Erfahrungswert: 10 von 500 Mitgliedern
Nichtlustig.de wieder da!
von Khark am 30. Dezember 2007 um 02:12 UhrNichtlustig.de bringt nach knapp einjähriger Pause endlich wieder Cartoons heraus.
Und falls noch jemand ein verspätetes Weihnachtsgeschenk für mich sucht, folgendes T-Shirt wäre genau das richtige für mich:
T-Shirt Professoren “Grammatik”
Wiiiiiiiii!!
von Khark am 3. Dezember 2007 um 23:54 UhrBei einer Suche nach “gender change” bei Google sind wir auf Platz 5: Klick mich.
(UPDATE: 14. Oktober 2009: Wir sind Platz 2!! Woohoo :-) )
Diese Erkenntnis verdanke ich unserem neuem Plugin CyStats.
Andere tolle Suchanfragen waren:
1. fahre nur so schnell wie du sehen kannst
2. Pipi machen
3. benzinklau verhindern
4. innerorts fernlicht aus oder an
5. elektronische servolenkung keine gefühl strasse
6. abfindung auto5000
Was lernen wir daraus? Wir blocken zuviel über Autos, VW und Pipi machen. Jawohl.
Apache Spielerein mit mod_rewrite
von Khark am 28. November 2007 um 12:11 UhrDa wir schon länger nichts zu Apache und so hatten, mal ein kleiner Beitrag.
Ich wollte eine PHP-Applikation für den Rest der Welt so gut es geht verstecken.
In VHost selbst ist der Zugriff auf das Verzeichnis nur von einer bestimmten IP erlaubt. Alle andere erhalten eine 403-Fehlermeldung (Zugriff verboten).
Ich wollte aber ganz gerne, das diese Leute eine 404-Meldung bekommen, damit man gar nicht merkt, das hinter dieser URL besagte Applikation steckt.
Dies erledigt folgender Anweisungsblock:
Wenn die IP, nicht der einzig zugelassenen entspricht und die URI /phpmyadmin/ ist, dann änder die URL nicht (hier wird /phpmyadmin/ durch /phpmyadmin/ ersetzt..) und sende den Statuscode 404.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REMOTE_ADDR} !^ip.ip.ip.ip$
RewriteCond %{REQUEST_URI} ^/phpmyadmin/$
RewriteRule ^/phpmyadmin/$ ^/phpmyadmin/$ [R=404]
</IfModule>
NagVis
von Khark am 21. November 2007 um 10:16 UhrWer sich mal angucken möchte, was ich so auf meiner Arbeit mache, kann sich auf http://nagvis.org/screenshots folgende 3 Screenshots der von mir aufgesetzten NagVis-Installation meiner Firma angucken.
Screenshot 1 – Übersicht
Screenshot 2 – LAN-Ansicht
Screenshot 3 – VPN-Übersicht
Meine Ausbilder war so nett mir zu erlauben diese den Jungs von NagVis, anonymisiert (alle Server-/Firmennamen sowie IP-Adressen entfernt/geändert), zur Verfügung zu stellen.
Apache und NTMLv2 Authentifizierung
von Khark am 13. November 2007 um 17:25 UhrMal wieder etwas ähnliches wie hier.
Zwar geht es jetzt nicht um MySQL-Authentifizierung, aber um Authentifizierung mit NTLMv2.
In Windows Vista ist die Defaulteinstellung in den Gruppenrichtlinien für die Authentifizierung im Netzwerk: “Sende nur NTLMv2 Antworten.”
Zwar kann man dies ändern, aber sicherheitstechnisch macht ein Wechsel zu NTLMv2 schon Sinn.
So, nun setzen wir aber häufiger den Apache Webserver als Microsofts IIS Webserver ein. Zum Glück :-)
Und irgendwie gibt es kein Modul für Apache, das mit NTLMv2 umgehen kann.
Unter http://search.cpan.org/~speeves/Apache-AuthenNTLM/AuthenNTLM.pm
findet sich ein Perl-Modul das wir auch für NTLMv1 einsetzen.
Mit NTLMv2 mag dies aber nicht.
– Wobei ich da jetzt noch nicht mit 100%iger Sicherheit sagen kann, ob dies wirklich am Modul selbst liegt, oder an der Gegenstelle..
Die anderen Module die ich gefunden haben, schreiben explizit, das sie kein NTLMv2 können oder man findet nur Berichte, das es nicht geht.
Daher mal eine Rundfrage:
Wie macht ihr im Apache (und Tomcat, wo wir schon dabei sind) Authentifizierung mit NTLMv2 ?