Skip to content

Keysigning zum Brandenburger Linux Infotag 2005

Am 2005-04-22 und 2005-04-23 findet der Brandenburger Linux Infotag statt. Neben einem vielfältigen Vortragsprogramm gibt es da auch wieder eine Keysigningparty. Falls daran gern teilnehmen möchtest, sende deinen Schlüssel (oder den Fingerprint) bis zum 2005-04-15 an jens@kubieziel.de (also an mich) und drucke dir nach dem Ende der Einreichungsfrist die Liste der Teilnehmer aus. Diese bringst du dann zusammen mit einem Stift und deinem Ausweis mit. Alles weitere werde ich dann direkt vor Ort erklären. Zur Vereinfachung des Signierens habe ich auch einen Schlüsselring hochgeladen. Weiterhin läuft morgen (2005-02-25) die Einreichungsfrist der Keys für das Keysigning zu den Chemnitzer Linuxtagen. Wer also noch nicht angemeldet ist, sollte sich beeilen.

ADAN

Wenn man sich im Usenet bewegt, findet man neben hilfreichen Diskussionen natürlich auch einiges Lustiges. So wurde die Gruppe de.alt.netdigest geschaffen, um dort “aktuellen und klassischen Humor aus allen Netzen” (laut der Charta) zu sammeln. Vielen Leuten fiel in der letzten Zeit auf, dass die Beiträge nicht mehr wirklich humorvoll oder lustig sind. Auch schien der Moderator Beiträge einiger Leute generell nicht mit aufzunehmen. Also ist es Zeit für was Neues und Besseres. Adi hat das lobenswerterweise umgesetzt und ADAN, das alternative dan geschaffen. Dies ist ein PHP-Skript, das die E-Mails der Einreicher entgegennimmt und in eine DB schreibt. Ein “Komittee” überprüft und bewertet die Einreichungen. Die Resultate werden vorerst in die Newsgroup thur.test gepostet und auf einer Webseite veröffentlicht. Ich fand diese Ergebnisse bislang wesentlich besser als beim original. Derzeit läuft das noch in einer Testphase. Wenn also jemand etwas beitragen möchte, kann er den Anweisungen auf adan.html folgen und eine E-Mail an adan[*]bb.thur.de schreiben.

mutt-ng wächst und gedeiht

Andreas Krennmair entschloß sich Anfang Januar, den bisherigen Stand des Mailprogrammes mutt abzuspalten und auf eigene Faust weiterzuentwickeln (forken). Seitdem ist einiges passiert. Kurze Zeit nach der Ankündigung wurde man natürlich auch auf der mutt-Mailingliste auf die neue “Konkurrenz” aufmerksam. Nach einer längeren Diskussion ist dort die Entwicklung wieder richtig in Schwung gekommen. Derzeit steht die dritte neue und verbesserte Version von mutt vor der Tür. Im Gegensatz zu früheren Zeiten scheinen die Entwickler wirklich wieder offen für neue Features zu sein. Ich kann nur hoffen, dass es so bleibt. Andreas kommt mit mutt-ng gut voran. Momentan wurden in das Subversion 74 Änderungen eingepflegt. Ich checke in regelmäßigen Abständen eine Version aus und teste diese. Bislang konnte ich nur kleine Probleme feststellen. Diese wurden nach einer Diskussion auf der Mailingliste behoben. Um den Nutzern weitere Informationen über die Entwicklung von mutt-ng zu geben, hat Andreas ein Weblog eingerichtet. Dort sollen in Zukunft die wesentlichen Änderungen berichtet werden. Wenn jemand nun nicht unbedingt selbst configure- und make-Läufe machen möchte und Debian nutzt, dem kann auch geholfen werden. Norbert Tretkowski bietet seit heute inoffizielle Debianpakete für mutt-ng an. Ich kann nur raten mutt-ng mal auszuprobieren. Man muss einfach seine alte .muttrc in .muttngrc umbenennen. Danach startet man mutt-ng und fertig. Also dann ran an die Tastatur und testen! Bitte meldet alle Fehler, die ihr findet.

anzügliche News

Wer seine Usetnetbeiträge mit dem Mozilla Thunderbird liest, hat es sicher schon gemerkt. Wenn Newsgroups einen langen Namen, wie z.B. de.comm.infosystems.www.authoring.misc, haben, werden diese in der Anzeige einfach abgekürzt (d.c.i.w.authoring.misc). Das Ganze kann allerdings auch unbeabsichtigte Folgen haben. Stellt euch vor, ihr wollt die Newsgroup ba.jobs.offered lesen. :-) Quelle: comp.risks

Updates meiner Seiten

Heute gab es auf meinen Seiten Updates. Das Layout der Seiten wurde komplett überarbeitet. Das Design stammt zum großen Teil aus einer Diskussion mit Uwe Köhn. Besten Dank Uwe für die Vorschläge. Sollte euch das Design nicht gefallen, bitte ich um einen Kommentar oder eine E-Mail. Weiterhin gab es von Wordpress vor kurzem eine neue stabile Version. Daher sieht auch das Blog jetzt ein wenig anders aus. Ich muss mich erst noch in die neuen Features einlesen und werde wahrscheinlich auch hier vom Standarddesign wegkommen. Doch das muss noch ein paar Tage warten.

NIST will SHA-1 auslaufen lassen

William Burr, der Manager der Security Technology Group des NIST, berichtete, dass man plant, die Unterstützung für SHA-1 bis 2010 auslaufen zu lassen. Als Ersatz solle SHA256 bzw. SHA512 zum Einsatz kommen. Bei einem internen Meeting hatten sich nach seinen Worten einige Kritiker gemeldet. Zuvor hatten bereits andere Kryptographen Bedenken angemeldet. Auch von der Benutzung von MD5 (siehe auch MD5 To Be Considered Harmful Someday) wird abgeraten. Quelle: FCW.com

Fehlerfox

In den letzten Tagen tauchten einige Veröffentlichungen bei Bugtraq bzw. Full-Disclosure zum Mozilla Firefox auf. Diese betrafen zum Teil auch andere Browser:

Probleme bei internationalisierten Domainnamen

Seit Anfang 2004 können URLs auch Sonderzeichen enthalten. Neben den deutschen Umlauten ist es auch möglich, griechische, arabische oder russische Buchstaben zu verwenden. Die Studenten Evgeniy Gabrilovich and Alex Gontmakher zeigten in ihrer Veröffentlichung “The homograph attack” bereits im Mai 2002, dass man mit kyrillischen Buchstaben URLs fälschen kann. Damals diente die URL von Microsoft zur Demonstration. In dieser Woche kam nun die Shmoo Group mit einem Advisory (siehe Demo auf http://www.shmoo.com/idn/, das auf Paypal abzielt.

Als Workaround für diese Schwachstelle kann man im Firefox in der Adressleiste about:config eingeben und dann nach network.enableIDN suchen. Ein Doppelklick darauf deaktiviert die Funktion. Allerdings muss dies bei jedem neuen Öffnen wieder gemacht werden. Die Entwickler von Mozilla arbeiten daran, eine ordentliche Lösung zu schaffen. Wie auch schon Kai Raven in “Firefox - IDN - 0 Info - 0 Transparenz” bemerkt, gibt es keinerlei Hinweise der Entwickler über die bestehende Schwachstelle. Gerade ein Projekt wie Mozilla muss Transparenz gegenüber seinen Nutzern bieten, sonst ist das anfängliche Vertrauen in den Browser schnell wieder verspielt.

Firetabbing, -dragging und -flashing
Michael Krax veröffentlichte gleich drei Schwachstellen. Bei der ersten geht es um das Anfassen und Verschieben von Objekten (Drag & Drop). Wenn man ein speziell präpariertes Bild auf den Desktop bewegt, wird auf einmal eine Batchdatei daraus. Diese kann dann vom Nutzer durch einen Doppelklick ausgeführt werden.
Die weiteren Lücken betreffen den JavaScriptManager und die Veränderung von Werten in der Konfiguration. Ich hoffe, diese werden ebenfalls in den nächsten Tagen gefixt.
tweetbackcheck