cold water

Bild Nummer 37

Das Wochenende verbrachte ich mit dem Sortieren der Fotonegative, die sich als Relikt aus meiner Analogfilmära seit 1996 angesammelt hatten. Dabei fiel mir auf, dass im Labor Negativstreifen aneinander geklebt werden, vermutlich damit sie als ein langer Film durch die Maschine gezogen werden können. Nach dem Entwickeln werden die Negative dann in kurze Abschnitte aufgeteilt und eingetütet. Das Filmende wird jedoch nicht am Klebestreifen durchtrennt, sondern kurz davor. Man findet in seiner Negativtasche also stets noch ein paar Millimeter vom benachbarten Filmstreifen.

An sich ist das kein Thema, wenn da nicht manche Kameras wären, die auf einen 36-er Film noch ein 37. Bild quetschen. Meistens geht das gut, und man findet dann tatsächlich 37 Abzüge in der Fototasche. Manchmal wird der Film aber auch am Bild 37 jäh mit dem nächsten Film verklebt, und schon wandern ein paar Millimeter jenes Bildes in die Negativtasche eines Fremden.

Das hier sind die Bilder, die ich auf diese Weise gefunden habe:

Ein großer Teil des Bildes wird vom Klebestreifen verborgen. Wenn man den Kleber rückstandslos entfernen könnte, könnte man sogar noch deutlich mehr sehen.

Willkommen zur neuen Shredzone

Vor 10 Jahren war es soweit: Die shredzone.de ging online! Heute bin ich stolz darauf, dass ich es rechtzeitig zum Jubiläum geschafft habe, mein neues Blog online zu stellen.

Die Blog-Software nennt sich Cilla und ist eine Eigenentwicklung, in die jetzt schon einige lange Abende an Arbeit geflossen sind. Einige Dinge, die ich geplant habe, habe ich nicht mehr rechtzeitig fertig bekommen. Deshalb trägt die Shredzone momentan das (mittlerweile für's Web 2.0 schon fast obligatorische) Beta-Batch. 😉 Den Quelltext von Cilla werde ich auf meiner Entwicklungs-Site freigegeben, sobald ich nicht mehr allzu viel darin umstelle.

Der Inhalt meiner alten Homepage - insbesondere die Fotogalerie - wird nach und nach auf meinen neuen Auftritt umziehen.

Viel Spaß auf der neuen Shredzone!

PS: Bis das Captcha-System fertiggestellt ist, werde ich alle neuen Kommentare erst einmal moderieren. Bitte habt ein wenig Geduld, bis euer Kommentar freigegeben wird.

Fedora? Bitte hier entlang...

Wie heißt es so schön: Immer wenn sich eine Tür schließt, öffnet sich eine neue.

Auf dem Fedorablog habe ich gestern das letzte Posting geschrieben. Die Site werde ich voraussichtlich Ende September schließen. Amerikanische Firmen müssen ihre Marke verteidigen, sonst verlieren sie sie. Die Erfahrung durfte ich 1998 schon mit der Firma Palm machen, und jetzt halt wieder. Wobei Red Hat sich da wesentlich community-freundlicher benimmt! Allerdings ist der Vertrag in amerikanischem Legalese geschrieben, und verlangt auch die dort üblichen Markenzeichen-Symbole (wie “Fedora®”). Im Endeffekt also viel Aufwand, nur um in Lizenz eine Domain benutzen zu dürfen. Wozu?

Ich sehe den Umzug in meinen privaten Blog eher als einen Neuanfang... Den Nachrichtenumfang vom Fedorablog werde ich (schon aus Zeitgründen) nicht beibehalten, also nicht die Release jeder Alpha-, Beta oder Final ankündigen oder es melden, wenn yum mal wieder klemmt.

Andererseits: Das Fedorablog repräsentierte die Community, weshalb ich meine persönliche Meinung weitgehend in den Hintergrund gestellt hatte. In meinem persönlichen Blog brauche ich auf solche Sachen nicht mehr zu achten. Auch nicht schlecht...

Wie geht es jetzt weiter? Ich werde die Artikel im Fedorablog sichten. Vieles davon ist mittlerweile obsolet (zum Beispiel, dass Fedora 7 veröffentlicht wurde) und kann an sich weg. Andere Artikel werde ich in das Fedora Wiki stellen oder hier in das Blog übernehmen. Die ganzen Arbeiten werde ich im Oktober erst beginnen können, also bitte ein wenig Geduld. 😀

Neue Artikel zum Thema Fedora (und weiteren Linux-Distributionen) wird es unter der Kategorie “Fedorado” geben. (Danke an Jan Ehrhardt für diese geniale Idee.)

Und zu der “Primer”-Kategorie aus dem Fedorablog, die bei dem Setup eines neu installierten System hilfreich ist, lasse ich mir auch noch etwas einfallen.

PHP-Angriff von EviLuTz

Gestern hat ein netter Zeitgenosse offenbar versucht, meine Websites zu hacken. Er klapperte auf gut Glück eine Liste von über 700 URLs ab, die alle versuchen, die URL http://glendalehills.am/photo.gif? einzubinden. Hierbei handelt es sich nicht um ein Bild, sondern um ein simples PHP-Script:

<?php
echo ("EviLuTz hacked you");
?>

Der Sinn hinter dieser Aktion wird sein, die angegriffenen Server auf ein bei Hackern sehr beliebtes PHP-“Feature” abzuklopfen. PHP erlaubt es beim include()-Kommando, URLs anzugeben, die PHP dann artig vom externen Server nachlädt und einfach mal ausführt. Idiotischerweise ist diese Funktionalität per Default erlaubt, und kann auch erst seit PHP 5.2.0 gezielt abgeschaltet werden. Wenn man nun einen Parameter ungeprüft übernimmt und in das include() füttert, um normalerweise eine lokale PHP-Datei einzubinden, ist die Sicherheitslücke auch schon da. Leider tappen viele PHP-Entwickler in diese Falle. Vermutlich auch, weil dieses Feature erst irgendwann nachträglich dazukam. Andererseits dürfen Parameter, die vom Besucher der Site kommen, sowieso niemals ungeprüft verwendet werden.

Aber zurück zum Thema: Wenn der Angreifer nach dem Aufruf eine Seite zurückbekommt, in der der Text “EviLuTz hacked you” enthalten ist, weiß er, dass die Site angreifbar ist. Ob er dann sofort ein Hack-Script nachschiebt oder erst mal nur die Server sondiert, kann ich nicht sagen.

Der Angriff ging gegen mehrere Domains, aber immer von der IP 91.121.31.184 aus. Sie gehört offenbar einem dedizierten Server eines französischen ISPs. Auffällig ist auch der User-Agent, der mit der Anfrage mitgeschickt wird: “Toata dragostea mea pentru diavola” (laut Google-Übersetzer ist das Rumänisch für “Alle meine Liebe für den Teufel”).

Die Domain glendalehills.am gehört laut Whois seit 2005 der Firma “Glandale Hills” (sic!) in Armenien.

Als schnelle Gegenmaßnahme empfiehlt sich, die IP und/oder den User-Agent zu sperren. Auf jeden Fall sollte bei PHP außerdem allow_url_include abgeschaltet werden, um sich generell gegen diese Angriffe zu wehren. (Leider erfordert manche PHP-Software dieses Feature, zum Beispiel um externe Plugins nachzuladen.) Und der übliche Rat: Wikis, Foren, CMSe und weitere Software, die auf PHP aufsetzt, sollten immer auf einem möglichst aktuellen Stand gehalten werden.

PS: allow_url_include = Off stoppt nur die schlimmste Möglichkeit, nämlich dass fremde PHP-Scripte auf dem eigenen Server ausgeführt werden. Wenn die verwendete PHP-Software aber grundsätzlich anfällig ist (also HTTP-Parameter ungeprüft included), ist weiterhin eine gefährliche Sicherheitslücke offen, da darüber auch lokale Dateien gelesen oder zum Beispiel Administrations-Skripte aufgerufen werden können.

Raising Elephants...

Der Linux-Kern hat den Ruf, äußerst stabil zu sein. Der X-Server dagegen bleibt gelegentlich hängen, vor allem in der Beta-Version, die seit Fedora 9 installiert wird. Der Rechner reagiert dann auf keine Eingaben mehr, und der einzige Ausweg scheint eine Zwangsabschaltung zu sein. Der Kernel “lebt” aber meist noch. Dann hilft die Magische S-Abf-Taste, um das System kontrolliert herunterzufahren.

Diese Funktion ist bei Fedora standardmäßig abgeschaltet. Um sie zu aktivieren, öffnet man als root die Datei /etc/sysctl.conf und ändert dort die Zeile kernel.sysrq wie folgt ab:

kernel.sysrq = 1

Nach einem Neustart steht die Taste zur Verfügung. Zusätzlich kann sie mit dem Kommando echo 1 > /proc/sys/kernel/sysrq sofort aktiviert werden.

Sollte sich das System dann wieder einmal aufhängen, hält man die Tasten ALT und S-Abf gedrückt und tippt ganz langsam die Buchstabenfolge REISUB ein. Wenn alles gut gegangen ist, startet das System neu. Die Buchstabenkombination lässt sich mit einer kleinen Eselsbrücke merken: “Raising Elephants Is So Utterly Boring”.