Archiv für die Kategorie „Wissenswertes“

WordPress-MultiSiteManager veröffentlicht

Alex Günsche · 16. Juli 2008

MultiSiteManager (MSM) ist ein WordPress-Plugin, das zwei der wichtigsten Aufgaben eines Administrators durchführt: Sicherungen und Aktualisierungen. Mit MSM kann man eine beliebige Anzahl von WordPress-Installationen von einer Hauptinstallation aus verwalten. (Um eine WordPress-Installation mit MSM zu verwalten, benötigt man einen FTP-Zugang zu dem entsprechenden Webspace.)

Besonders angesichts der jüngsten Massenhacks und wiederholten Angriffe auf WordPress-Blogs ist dieses Plugin sehr wichtig für die Blogosphäre.

Weiterlesen (engl.) und Herunterladen »

 4  Wissenswertes, Software

Umzug

Alex Günsche · 21. April 2007

Nein, nicht die Seite, sondern ich ziehe um. Ab dem ersten Mai habe ich dann eine schöne neue Wohnung und ein großes Büro/Arbeitszimmer. Aus diesem Grund kann es sein, dass ich die nächsten Tage und Wochen schwer zu erreichen bin; vor allem per Internet, da ich auch gleichzeitig den Provider wechsele. Aber meine Freundin wird mir und meinem Laptop für die Zeit ohne eigenes Netz Unterschlupf gewähren, so dass ich weiter an den momentan betreuten Kundenprojekten arbeiten kann. Allerdings ist mit Support für die freien Projekte eher nicht zu rechnen.

 0  Wissenswertes, Zirona-News

A few words about the InstantUpgrade plugin

Alex Günsche · 22. März 2007

Dieser Beitrag ist leider nur auf Englisch verfügbar. (Er darf aber gerne auf Deutsch kommentiert werden.)

The InstantUpgrade plugin has received quite some attention during the last two weeks since its initial release. At the moment, the plugin package has been downloaded about 1100 times. But it has also raised a couple of questions which were asked here at zirona.com or discussed in other places. I want to say a few words and try to summarize the feedback a bit.

In general, the plugin received very positive feedback. Many people wrote me that they were astonished how quick and easy the upgrade was indeed. I have to admit that I myself am surprized how good it seems to work for the vaste majority of users. However, some people did encounter problems, in fact due to certain safe mode configurations. (This is why the plugin’s next version won’t work in safe mode at all.) However, as far as I know, everybody was able to restore his/her WordPress installation, so there was no grave damage so far. (phew…)

For the topic of security

We all know that making files writable by the webserver is potentially dangerous. For InstantUpgrade, you must make very many files writable. There is no way around that, because FTP user (you) and Webserver are different system users on the server in most cases. But that’s ok in this case, because with the first run, all those files will be owned by the webserver and have proper permissions again.

However, the WordPress base folder will remain world writable. This might allow the webserver or other users to create files there — if they come to access this area at all. If you want to avoid this very unlikely possibility under any circumstances, you must not use the InstantUpgrade plugin. However, if you have your .htaccess or your theme/plugin files world writable, or you use plugins that execute inline PHP, don’t you come to me whining about security.

Apart from this, there is — in my opinion — no reason to consider this plugin insecure. But if you believe to have identified another issue, please let me know.

Integration with WordPress

Another thing I’ve read a couple of times are statements like “If it’s so good, why isn’t it in the WordPress core?” or “I hope they will soon integrate this with the WP core.” Although I feel honoured when hearing thes proposals, I’m afraid, they’re a bit unrealistic. The installation of the plugin requires some steps that (a) might ask too much from novice WP users, and (b) can turn out to be impossible on some hosts.

I would however appreciate, if — with time — there could be a better cooperation with the WordPress developers. The InstantUpgrade plugin must be as future proof as possible, and I am afraid that most people won’t upgrade the plugin itself too often. So if there’s a change in WordPress for which the plugin is not laid out, there might be errors during upgrade. Of course I monitor the development of WordPress, so I pretty much get the idea what expects us with new releases, and you can be sure that I will bring out a new version of InstandUpgrade soon enough before the WordPress upgrade.

I have also received some ideas for upcoming versions. Some are things I had considered myself, and had rejected for various reasons. Others are good inspirations for improvements. So if you have an idea what could be a feature of an auto-upgrade plugin, please let me know.

 3  Wissenswertes, Meinung, Software

Plugin-Verzeichnis wp-plugins.org

Alex Günsche · 16. März 2007

Die Jungs von Automattic haben die Website wp-plugins.org (endlich!) zu einer standardisierten Plattform für WordPress-Plugins ausgebaut. Das wird die Verwaltung von Plugins für Anwender und Entwicker hoffentlich um einiges einfacher machen.

Übrigens: Matt sagt: “[…] having all these plugins isn’t that useful if you’ve got no place to find them”, was natürlich nicht ganz stimmig ist, denn wp-plugins.net hat zumindest mir bislang immer gute Dienste geleistet.

 0  Wissenswertes, Software

meinung-live.de: Zensur gegen BILDblog.de, liberal zu Sicherheitslücken

Alex Günsche · 5. März 2007

BILDblog.de veröffentlichte vor wenigen Tagen einen Artikel über das von Bild.T-Online betriebene Forum www.meinung-live.de, wo Links und andere Referenzen zu BILDblog.de systematisch zensiert werden.

Ich habe das zum Anlass genommen, mich mal auf diesem Portal umzuschauen. Die Hass- und Lügenmaschine “BILD” kann ich sowieso nicht leiden, und wenn dann noch systematische Zensur geübt wird, dann möchte man doch mal sehen, mit wem man es zu tun hat.

Nun bin ich weder ein pöser Pube, noch würde ich mich als Sicherheitspezialisten bezeichnen — aber mir sind doch schon nach kurzem Umsehen einige grobe Sicherheitslücken ins Auge gefallen, die für Benutzer und Betreiber des Portals fatal werden könnten. Das Forensystem nennt sich Forum 101 und ist von der norddeutschen Internetklitsche worldweb für schlappe 2800 Euro zu erwerben. Dieses Forensystem ist anfällig für mehrere Sicherheitslücken, vorwiegend Cross-Site-Scripting (XSS) in Hülle und Fülle sowie SQL-Injektion.

Für die nicht Fachkundigen: Clientseitiges Cross-Site-Scripting ist eine Angriffstechnik, bei der ein Bösewicht präparierte URLs mit JavaScript (eine vom Browser ausgeführten Programmiersprache) spickt, das dann auf dem Rechner des Opfers ausgeführt wird. Auf diese Weise kann man beispielsweise den Benutzerzugang des Opfers übernehmen. Das System Forum101 lässt XSS-Attacken in vielen Eingabefeldern und den dazugehörigen URL-Parametern zu, d.h. so ziemlich jede Seite des Forums ist für XSS-Attacken anfällig.

Doch damit nicht genug: Das Forensystem ist anfällig für SQL-Injektion. SQL-Injektion wird durch schlampige Programmierung möglich, wenn Benutzereingaben ohne Überprüfung als Parameter für einen Datenbankzugriff verwendet. Dadurch kann man unter Umständen in die Datenbank des Forensystems einbrechen und beliebige Daten lesen/ändern/löschen — beispielsweise Benutzernamen und -passwörter. (Kleiner Tipp an die Forum101-Entwickler: Man sollte LIMIT-Deklarationen nicht ungeprüft aus der URL entnehmen.)

Im Übrigen werden Angriffe gegen Benutzer noch dadurch vereinfacht, dass das Passwort anscheinend im Klartext in der Datenbank liegt, statt es mit einem Hash zu schützen. (Zu sehen ist das daran, dass man das ursprüngliche Passwort bei der “Passwort-Vergessen”-Funktion bekommt, und nicht ein neues.) Somit muss ein Angreifer die Passwörter für die Anmeldung mit einem fremden Zugang noch nicht mal ändern, d.h. ein Zugriff bliebe sogar weitestgehend unbemerkt.

Mit solchen gravierenden Schwachstellen wird das System Forum101 schnell zum “Room 101″ für alle Beteiligten. Um es nochmal zu verdeutlichen: Diese Erkenntnisse sind das Ergebnis einer müßigen Kaffeepause. Nicht auszudenken, was man bei genauerer Untersuchung dieses Gefrickels im Wert einer kompletten Büroausstattung noch so alles finden würde. Bleibt die Frage, warum sich Bild.T-Online für dieses Paket entschieden hat — wo es doch eine ältere Version von phpBB auch getan hätte. Vermutlich ist das hervorstechende Merkmal (oder “Unique Selling Point”, wie der PRler sagt) die ausgeklügelte Zensurfunktion.

Hinweis: Das unbefugte Ausspähen und Manipulieren von EDV-Daten ist — wie wir alle wissen — in Deutschland strafbar. Bei der oben dargestellten Recherche sind keine Daten unbefugt ausgespäht oder manipuliert worden. Dieser Artikel ist nicht als Aufruf zu Straftaten zu verstehen, sondern stellt einzig und allein eine kritische Betrachtung des Forensystems “Forum101″ dar.

 6  Wissenswertes, Meinung

Exploit für WordPress verfügbar

Alex Günsche · 10. Januar 2007

Es ist seit heute ein Exploit für WordPress verfügbar, der den Admin-Benutzer sowie das gehashte Admin-Passwort verrät. Betroffen sind WP-Versionen unter 2.0.6 auf Servern mit register_globals=On. (Das Exploit-Skript suggeriert, dass auch die Version 2.0.6 betroffen ist, doch das konnte bisher nicht reproduziert werden.) Es wird dringstens eine Aktualisierung auf die neuste Version 2.0.6 empfohlen.

Zum Hintergrund: Wie funktioniert der Exploit?

In der PHP-Datei wp-trackback.php wird die externe Dateneingabe nicht korrekt gefiltert, so das eine SQL-Injektion möglich ist. Was heißt das?

Wenn ein Zugriff auf die Datenbank stattfindet, so werden alle Eingaben durch Anführungszeichen abgegrenzt. Enthält die Anfrage ein Anführungszeichen zuviel oder zuwenig, so wird der weitere Text als SQL-Befehl interpretiert. Bei der SQL-Injektion wird das gezielt ausgenutzt, indem Anführungszeichen von außen eingegeben werden. Wenn diese vor dem Datenbankzugriff von der jeweiligen Anwendung nicht ausgefiltert oder maskiert werden, so kann man von außen SQL-Befehle in die Datenbank einfügen.

Der der derzeit kursierende Exploit ist relativ harmlos: Er liest nur die Benutzertabelle aus und verrät das gehashte Admin-Passwort. Damit beweist der Autor, dass (und wie) die Lücke ausnutzbar ist, ohne direkten Schaden anzurichten. Doch natürlich lässt sich der Exploit mit ein bissel Knoffhoff und wenig Aufwand so umstricken, dass er in die Datenbank schreibt, nämlich etwa einen neuen Benutzer mit Adminrechten.

 0  Wissenswertes, Software

Umstrukturierung

Alex Günsche · 24. November 2006

Möglicherweise wundern Sie sich, dass Sie von contutto.com hierher umgeleitet wurden.

Das liegt daran, dass ich alle Software und Dokumentation sowie fast alle Blogbeiträge und alle Kommentare hierher migriert habe. Der Grund dafür ist, dass Contutto eigentlich nur eine Website für dynamische PDF-Anwendungen ist und eigentlich nicht für WordPress-Plugins. Natürlich passen die Plugins “ContuttoPDF” und “Advanced Search” dort hin, aber andere Plugins haben dort nix zu suchen. Da ich keine Lust habe, die Plugin-Entwicklung auf zwei Plattformen zu verteilen, habe ich beschlossen, alles hierher zu verschieben.

Ich hoffe, dass meine Besucher sich dennoch zurechtfinden und Spaß bei der Benutzung der Seite haben. Falls es zu 404-Fehlern oder anderen Unannahmlichkeiten kommen sollte, bitte ich um kurze Nachricht. Ich bin dankbar für jeden Hinweis.

 0  Wissenswertes, Zirona-News, Allgemeines, Software

A beautiful friendship? Linux and Samsung SGH-D600

Alex Günsche · 30. Mai 2006

Dieser Beitrag stammt aus dem Webangebot des eingestellten ServerSite-Projekts. Da er oft über Suchmaschinen gefunden wird und vielfach verlinkt ist, habe ich ihn hier nochmal veröffentlicht. Er ist leider nur auf englisch verfügbar.

And now for something completely different: I managed to synchronize my Samsung SGH-D600 mobile phone with my Linux machine. I know there are many people who also want that, and I still haven’t found any useful resources on other websites. So I’m trying to outline here how to get the SGH-D600 to talk to Linux.

A brief history of my efforts: First, I tried to “detect” and mount the Phone’s internal memory. Samsung delivers a software package in order to do so, but that cr*p only runs on Windows. It doesn’t behave like a usual USB device; although it was detected as such by my system. So I tried to run Samsungs “PC Studio” with wine. I spent some hours until I gave up, totally upset and angry.

So I decided to spend some more money and get a microSD card, in order to have an additional reason to hate Samsung and their “What-is-that-Linux-you’re-talking-about”-attitude. It was detected directly as I put it into my SGH-D600, and the phone suggested to format it, which I allowed to happen. After that, I set the data transfer type to “Mass storage” (Settings -> Phone settings -> USB settings). Then I plugged it into my PC, and the phone said “USB now in use.” (It did that before, too; so I still wasn’t expecting too much.)

But then, I got the following (slightly adapted to fit layout):

# tail -n 20 /var/log/messages
usb 3-2: new full speed USB device using ohci_hcd and address 3
usb 3-2: configuration #3 chosen from 1 choice
scsi0 : SCSI emulation for USB Mass Storage devices
usb-storage: device found at 3
usb-storage: waiting for device to settle before scanning
Vendor: Model: Rev:
Type: Direct-Access ANSI SCSI revision: 00

sda: Write Protect is off
sda: Mode Sense: 00 6a 00 00
sda: assuming drive cache: write through

sda: Write Protect is off
sda: Mode Sense: 00 6a 00 00
sda: assuming drive cache: write through
sda: sda1
sd 0:0:0:0: Attached scsi removable disk sda
sd 0:0:0:0: Attached scsi generic sg0 type 0
usb-storage: device scan complete
scsi.agent[11755]: disk at /devices/pci0000:00/0000:00:03.1/usb3/3-2/3-2:3.0/host0/target0:0:0/0:0:0:0 SCSI device sda: 1983495 512-byte hdwr sectors (1016 MB) SCSI device sda: 1983495 512-byte hdwr sectors (1016 MB)

So the card actually was detected, whereas before my machine was barely able to detect some sort of storage device.
First, I tried to mount /dev/sda1, but all I got was some subdirectories with names consisting of but weird characters. So I unmounted it and mounted /dev/sda, and – behold! – I got a list of folders like “Images”, “Video”, “Music” etc.

Now I had to test if it would accept me changing the contents: I put one of my favourite albums into the “Music” folder and unmounted. Unmounting took very long, so I think the actual writing was performed there. Then I started the mp3 player integrated with the SGH-D600, and I got my favourite sound coming out of my cell phone.

I hope this encourages Linux users with the Samsung SGH-D600 to give it a try, too. What you need, are a few things: (1) a microSD (a.k.aTransflash) Card, (2) the (afaik always included) USB cable, and (3) a Linux kernel with support for plenty of USB and SCSI stuff. Especially important is the ohci support and “Probe all LUNs”, but they should be active on recent distros anyway. (Note: the device can also appear as /dev/sdb or somoething different. Check your /dev directory and /var/log/messages.)

Try out and have fun.

 5  Wissenswertes

Zirona OpenCompilation Version 2.0 veröffentlicht!

Alex Günsche · 23. Mai 2006

Mit der Zirona OpenCompilation erhalten Sie eine CD voller wertvoller Software, darunter nahmhafte Produkte und preisgekrönte Programme. Sie dürfen die Software ohne Einschränkung benutzen und sogar an Freunde, Bekannte und Arbeitskollegen weitergeben.

Die Zirona OpenCompilation ist eine von Zirona herausgegebene Sammlung aktueller OpenSource-Programme für Windows auf einer CD. Das sicherlich bekannteste Programm ist das freie Office-Paket OpenOffice, das eine (mindestens) gleichwertige Alternative zu Microsoft Office darstellt. Ebenfalls schon fast ein Klassiker ist Firefox — die schnelle, sichere und komfortable Alternative zum Websurfen.

Alle enthaltenen Programme im Überblick (Links führen zur Projektseite):

Verwendung

Um die Software benutzen zu können, folgen Sie bitte fünf einfachen Schritten:

Laden Sie die ISO-Abbilddatei von unserem Server herunter: zoc-2.0.iso (Größe: ca. 204 MB). Brennen Sie die ISO-Datei als Abbild auf eine leere CD-R. Wenn das Brennen abgeschlossen ist, entnehmen Sie die CD und schreiben Sie mit einem wasserfesten Filzstift “Zirona OpenCompilation v2.0″ auf die obere Seite. Legen Sie die CD wieder in das Laufwerk und schließen Sie dieses. Wenn Windows fragt, was Sie mit der CD machen möchten, antworten Sie “Mit Explorer öffnen”. Wenn nichts passiert, öffnen Sie selbst den Windows Explorer und klicken Sie auf das Symbol des Laufwerks, in das Sie die CD eingelegt haben. Klicken Sie auf die Datei start bzw. start.html. Es wird der CD-Inhalt angezeigt, und Sie können nun Programme installieren!

Wenn Sie, anstatt die ganze CD herunter zu laden, nur einzelne Programme installieren möchten, besuchen Sie bitte die Webseiten des jeweiligen Projektes.

 0  Wissenswertes, Zirona-News

System-Update und Server-Neustart am 10.05.

Alex Günsche · 6. Mai 2006

Am kommenden Mittwoch, dem 10.05., werden wir das System unseres Hauptservers aktualisieren. Dabei wird ein aktueller Linux-Kernel eingespielt, daher muss anschließend der Server neu gestartet werden. Das Neustart wird gegen 18:00 sein; wenn alles gut geht, ist der Server nur 5 Minuten nicht erreichbar.

Wir werden Sie an dieser Stelle informieren, wenn die Aktualisierung abgeschlossen ist.

 0  Wissenswertes, Zirona-News