Viele von euch wissen sicher, dass auch dieses Jahr, wie so oft, der nun 26. Chaos Communication Congress in Berlin stattfindet. Da es vermutlich wieder ewig viele Interessierte gibt, die aus verschiedensten Gruenden nicht vor Ort sein koennen, gibt es dieses Jahr ein Experiment, welches unter dem Begriff Dragons Everywhere laueft.
Ziel ist es, dass Interessierte fuer die Dauer des Congresses ihr eigenes Hackcenter organisieren. Hier hat man dann die Moeglichkeit die Vortraege via Stream gemeinsam mit anderen Hackern zu erleben, aber auch Kontakte zu knuepfen und Erfahrungen auszutauschen.
Da ich es, wie nun seit Jahren, wieder nicht nach Berlin schaffen werden, werde ich dieses mal ggf. ein „externes Hackcenter“ aufsuchen. Vor allem auch da mich Alexander (visus) angesprochen hat, wird mein Ziel dann vermutlich die Universitaet Duisburg-Essen sein. Wer auch interesse hat, einfach mal ins Wiki dort schauen.
Monat: November 2009 (Seite 1 von 2)
Da ich die Tage gefragt wurde ob ich die 7 Schichten des OSI-Schichtenmodell benennen kann hier kurz die Beschreibung wie ich mir die Schichten merke. Noch mal kurz zur Erinnerung. Von unten nach oben handelt es sich hierbei um Physical, Data Link, Network Transport, Session, Presentation und Application. Und wie merkt man sich das nun? So => Please Do Not Throw Sausage Pizza Away
Klappt bei mir seit knapp 15 Jahren so 🙂
Kennt einer von euch die neue Werbung von Server4You? Da wird ueber eine Doppelseite der Root-Server “Von Profis fuer Profis” angeboten. Teil der Werbung ist auch ein Bild, in dem “Hardware-Profi Nico P.” zu sehen ist, wieder er gerade mit einem Schraubendreher bewaffnet eine Hot-Plug Festplatte auswechselt. Warum hab ich das Gefuehl keinen Server bei Server4You bestellen zu wollen?
Dirk fragt in Umfrage: Der ideale Arbeitsplatz in der IT wie fuer ein selbst der ideale Arbeitsplatz aussieht.
Fuer mich gehoeren da viele Faktoren zusammen, die aber alle eine verschieden schwere Gewichtung haben. Wenn ich z.B. „nur“ 25 Tage Urlaub/Jahr bekomme sollte ich die Moeglichkeit haben diese ueber Ueberstunden aufstocken zu koennen. Auch moechte ich flexible Arbeitszeiten haben, um nicht bis 18 Uhr auf der Arbeit sitzen zu muessen. Vor allem was die Arbeitszeit, bzw. den Urlaub angeht bin ich recht unflexibel, da mir mein Kind und die Frau einfach wichtig sind. Ich moechte nicht erst um 19 Uhr nach Hause kommen und dann nur noch 30 Minuten mit meinem Sohn verbringen koennen, da es dann fuer ihn Zeit fuer das Bett ist.
Was waeren fuer mich spontan wichtige Punkte, die einen idealen Arbeitsplatzt ausmachen?
1. Flexible Arbeitszeiten.
2. Geleistet Ueberstunden koennen genommen werden.
3. Kurze und unkomplizierte Entscheidungswege.
4. Bereitestellen der benoetigte Werkzeuge um einen ordentlichen Job machen zu koennen.
5. Ein mindestens professioneller, lieber noch freundschaftlicher Umgang mit Kollegen.
6. Die Moeglichkeit sich weiter entwickeln zu koennen und dabei auch vom Arbeitgeber gefoerdert werden.
7. Ein vernuenftiger Arbeitsplatz (kein Grossraumbuero und auch keine Umkleidekabine).
8. Kommunikation und Dokumentation muss sein.
Wenn ich laenger nachdenken wuerde, haette ich sicher noch ein paar Punkte mehr. Vor allem aber finde ich Punkt 5 wichtig. In einem Team sollte man zumindest immer einen fairen und sozialen Umgang miteinander pflegen. Da gehoert dann auch das „Guten Morgen“ und das Helfen untereinander zu.
Nur ergaenzend, da es mir die letzten Tage wieder aufgefallen war. Es gibt viele Menschen in der IT die sind einfach nicht kritikfaehig. Ich hatte ja vor ein paar Tagen erneut ein Problem in einer Webanwendung gefunden. Und was machen die Enwickler? Die fuehlen sich „slightly pissed“. Ich sag das immer wieder und hatte es den Beteiligten auch schon mal gesagt. Ich melde keine Fehler oder Probleme damit die Leute die Hose angezuendet bekommen. Vielmehr soll es einfach ein Hinweis sein, damit sich die Betroffenen damit auseinander setzen und das Problem ggf aus der Welt schaffen. Vor allem bei Anwendungen die von Kunden genutzt werden, koennen Fehler fatale Folgen nach sich ziehen. Wenn mir z.B. auffaellt, dass durch einen manipulierten Aufruf alle Kundendaten abgezogen werden koennen ist das nicht lustig, aber man kann das Problem i.d.R. noch ohne grosses Aufsehen aus der Welt schaffen. Wenn dann aber Morgens die Presse am Empfang steht, weil der Fehler genutzt wurde um Datenbestaende von Kunden abzuziehen, hat man wirklich wenig Spass.
Ich liebe, ich nenne es jetzt mal so, Hacking. Die letzten Tage wurde ich gebeten mir noch einmal eine Webanwendung anzuschauen, in der bereits von mir und im Rahmen eines Tests Probleme identifiziert wurden. Ein Problem war unter anderem, dass uebertragene Werte von der Backendanwendung nicht validiert wurden. Kleines Beispiel.
Gehen wir davon aus, dass die genannte Anwendung fuer Autoverkauefer ist, in denen er Fahrzeugtyp, Sonderausstattungsmerkmale und ggf. Rabatte auswaehlen kann. Die Rabattstufen wurden vorgegeben (5%, 10%, 15%) und konnten vom Verkaeufer im Rahmen der Vertragserstellung ausgewaehlt werden (type=“checkbox“). Hat der Verkaeufer nun einen Rabatt von 10% ausgewaehlt wurden der Anwendung unter anderem zwei Werte uebergeben. Zum einen der Wert „Rabattauswahl1“ mit „J“ (fuer Ja, also ausgewaehlt) und „Rabatt1“ mit dem Wert „10“. Wie oben angedeutet war das Problem nun, dass im Backend die Rueckgabewerte nicht validiert wurden. So war es moeglich den Wert fuer „Rabatt10“ zu manipulieren. Ich Detail laeuft das wie folgt ab.
Rabatt in der Anwendung auswaehlen (wir nehmen mal 10%) und dann im Browser die Seite abschicken. Nun faengt man die Seite ab, sie geht also noch nicht Richtung Server, manipuliert seine Werte (machen wir aus der 10 in Rabatt10 einfach mal 70) und uebergibt die Seite *dann* erst an den Server. Und schon hat man nicht 10% sondern 70% Rabatt, da die Anwendung eben nicht prueft ob der Rueckgabewert korrekt ist.
Fuer das Aendern der Daten nutze ich Tamper Data. Das Plugin haengt sich in den Browser und bietet die Moeglichkeit den abgeschickten Datenstrom abzufangen und zu optimieren.
Gut, das genannten Problem wurde behoben, so dass es mir nicht moeglich war einen ordentlichen Rabatt zu gewaehren. Da ich aber nicht kampflos aufgeben wollte habe ich etwas anderes versucht. In dem von mir getesteten Fall konnte ich aus 5 Rabatten auswaehlen. Was passiert nun, dachte ich bei mir, wenn ich zu den Feldern Rabattauswahl1 bis Rabattauswahl5 noch ein Feld Rabattauswahl6 mit den dazugehorigen Feldern anlege? Ja, was soll ich sagen? Die Anwendung hat zwar alle urspruenglich an den Browser gelieferten Werte auf Korrektheit validiert, hat aber meinen neuen Wert ungeprueft uebernommen, so dass ich mir doch 70% Rabatt gewaehren konnte. 🙂 Das Resultat war, dass ich eine Menge Spass hatte, wohingegen der betroffene Fachbereich natuerlich wieder maessig erfreut war. 😉
Heute Morgen auf dem Weg zur Arbeit ueberhole ich einen Lastwagen. hinten drauf Werbug fuer shit-fm big-fm.
Deutschlands Biggeste Beats
Was bitte soll denn „biggeste“ sein? Vor allem im Zusammenhang mit dem Hinweis, dass dort zwischen irgendwann Morgens und 18:00 sechs mal 45 Minuten lang Musik ohne Werbeunterbrechung zu hoeren ist. Sollte es dann nicht vielleicht „Deutschlands Longeste Beats“ oder so heissen? *seufz*
Ich mag ja Defaultwerte. Eben wieder Zugriff auf ein wichtiges Device erhalten, indem ich die Anmeldung als „root mit dem Kennwort „root“ hinter mich gebracht habe. Ich denke da sollte man den Hersteller fragen ob das Kennwort geaendert werden darf.
Waehrend ich mich beim Auswerten eines Logs (Greylisting) wieder mal mit grep rumaerger (ich nutze das einfach nicht oft genug, grmblfx) hoere ich zum wiederholten male „Rude Boy“ von Dub FX. Weniger weil das Lied so cool ist, sondern vielmehr weil es einfach fantastisch gemacht ist!
Auf jeden Fall mal anschauen!
Holla die Waldfee. Ich plane ja schon ewig mein Schlagzeug im Keller auf zu bauen. Dafuer muss ich aber einen Raum unterteilen. Jetzt endlich, die Freunde haben kaum noch dran geglaubt, hab ich alle Planungen fertig. Die Tage sind dann schon mal die Steine gekommen, die fuer die Unterteilung des Kellerraumes genutzt werden. Damit es auch ordentlich daemmt habe ich mich fuer etwas massivere Steine entschieden. Die Steine nennen sich „Phon“ hasstenichtjesehen und sind, wem es was sagt, V20 mit einer Rohdichte von 1,8. Insgesamt habe ich 120 Steine angeliefert bekomnen und wollte die gerade „mal eben“ in den Keller tragen. Nach 40 Steinen hab ich erst mal aufgehoert. Nicht nur dass mir die Krankheit doch noch was in den Knochen steckt. Die Steine sind mit 26 Kilogramm je Stueck auch recht fies zu tragen 🙂
Hier nun, wie angekuendigt, ein weiteres Video der Ubucon. Diesmal ist es der Vortrag zu „Podcasting“, welchen Dirk und Roman gehalten haben.
Ziel ist eine lockere Gespraechsrunde, in der eine Diskussion ueber das Thema gefuehrt wird und die ansonsten von den Teilnehmern geleitet wird. Natuerlich hat die Session eine grobe Struktur.
Podcasting
Die Folien zum Vortrag sind hier zu finden.